343o com capa 12jul07.doc) · 2008. 11. 19. · Pré-impressão: IPAI Impressão e Acabamento: CEM...
Transcript of 343o com capa 12jul07.doc) · 2008. 11. 19. · Pré-impressão: IPAI Impressão e Acabamento: CEM...
Auditoria Interna Janeiro/Março 2007 Revista Trimestral Publicação Gratuita Nº 26
A relevância do Controlo interno
Gestão do Risco Empresarial (ERM)
Auditoria Interna Janeiro/Março 2007 Nº 26 2
ÍÍÍÍndicendicendicendice
EditorialEditorialEditorialEditorial
Auditoria Interna – evolução para além da Sarbanes-Oxley, Orlando Sousa, CCSA, Vice-presidente IPAI, Director de Auditoria da Sonae Distribuição
2 Auditoria de SistemasAuditoria de SistemasAuditoria de SistemasAuditoria de Sistemas – Macros – Automatizar os testes e análises em auditoria, Drumond de Freitas – Equiconsulte
20
AudireAudireAudireAudire
A independência em auditoria, Manuel Marques Barreiro, Presidente IPAI
4 A palavra ao CIA A palavra ao CIA A palavra ao CIA A palavra ao CIA –––– Fernando Monteiro, CIA 22
ArtigosArtigosArtigosArtigos Notícias 25 Os sistemas de gestão da qualidade nas instituições de ensino superior – 2ª parte, Maria da Conceição Costa Marques 5 Plano de Formação 2007Plano de Formação 2007Plano de Formação 2007Plano de Formação 2007 26 Gestão do risco – da abordagem tradicional à gestão de risco empresarial (ERM), Nuno Castanheira, Lúcia Lima Rodrigues 9 GlossárioGlossárioGlossárioGlossário 27 Auditoria interna – fornecer valor, Joaquim Leite Pinheiro 13 Pesquisa na RedePesquisa na RedePesquisa na RedePesquisa na Rede 28 Controlo interno: ser pequeno não interessa, tradução de Mário Carvalho 15 O Zé auditorO Zé auditorO Zé auditorO Zé auditor, Miguel Silva 29
II Fórum de Auditoria Interna 2007II Fórum de Auditoria Interna 2007II Fórum de Auditoria Interna 2007II Fórum de Auditoria Interna 2007 19
Foto da capa: Domingos Sequeira
Propriedade e Administração IPAI – Avenida Duque de Loulé, 5 – 2 B – 1050-085 LISBOA Contribuinte nº 502 718 714; Telefone/Fax: 215 315 002 Correio electrónico: [email protected]; sítio: www.ipai.pt
FICHA TÉCNICA Director: Joaquim Leite Pinheiro [email protected]; Coordenação de edição: Domingos Sequeira, Orlando Sousa; Redacção: Manuel Marques Barreiro [email protected]; Conselho Editorial: Manuel Barreiro, Domingos Sequeira, Francisco Melo Albino; Colaboradores nesta edição: Maria da Conceição Marques, Lúcia Lima Rodrigues, Nuno Castanheira, Raul Fernandes, Drumond de Freitas, Mário Carvalho, Miguel Silva.
Pré-impressão: IPAI Impressão e Acabamento: CEM Ano VII – Nº 25 – TRIMESTRAL Janeiro/Março 2007 TIRAGEM: 750 exemplares; Registo: DGCS com o nº 123336; Depósito Legal: 144226/99; Expedição por correio; Grátis
Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2 B – 1050-085 LISBOA; Telefone/Fax: 213 151 002 Correio electrónico: [email protected]
Visite-nos em www.ipai.pt Nota: Os artigos vinculam exclusivamente os seus autores, não reflectindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI www.ipai.pt após a edição da revista impressa.
Missão
Promover a partilha do saber e da prática em auditoria interna, gestão do
risco e controlo interno.
Auditoria Interna Janeiro/Março 2007 Nº 26 3
EdEdEdEditorialitorialitorialitorial
actualidade da Auditoria Interna (AI) está muito marcada pela adopção nos EUA da lei de Sarbanes-Oxley (SOX), em especial
a secção 404. Esta regulamentação, que tem como principal aspecto positivo o reforço do controlo interno das Empresas cotadas, teve talvez uma interpretação demasiadamente extensiva ao incrementar o foco na verificação da evidência dos controlos que garantem a correcção dos registos financeiros, tendo como consequência directa um incremento do trabalho e do papel da Auditoria Interna. Num primeiro momento, para analisar e aperfeiçoar os sistemas de controlo e, seguidamente verificar a evidência da realização dos controlos instituídos de uma forma continuada. Para assegurar este aumento de responsabilidade e volume de trabalho, os departamentos de Auditoria Interna ganharam maior visibilidade dentro das Empresas e viram aparecer uma oportunidade de crescer em número de colaboradores, reforçando assim a sua importância. Este movimento, que teve o seu início nos Estados Unidos, espalhou a sua influência um pouco por todo o lado, com maiores ou menores adaptações. Mas esta oportunidade que se coloca à Auditoria Interna tem também o seu reverso da medalha, neste caso, e na nossa opinião, podendo consistir em três principais problemas: Em primeiro lugar o foco na verificação da evidência dos controlos da informação financeira como trabalho da Auditoria Interna revela-se, como é óbvio, ao fim de pouco tempo, uma tarefa monótona e repetitiva.
Esta realidade faz com que nos EUA seja hoje mais difícil recrutar os jovens recém formados mais brilhantes para a carreira de Auditoria Interna, pois os horizontes de desenvolvimento e realização profissional são claramente mais limitados. E mesmo aqueles que num primeiro momento se deixam aliciar por esta carreira, rapidamente se cansarão de exercer tarefas tão repetitivas e pouco exigentes de capacidade de raciocino e inovação. A médio e longo prazo, esta realidade pode significar uma diminuição da qualidade dos colaboradores e líderes da função de Auditoria Interna. Em segundo lugar, de acordo com alguns estudos recentemente publicados, o incremento de recursos humanos, trabalho e burocracia (muitas vezes duplicados com a actividade da Auditoria Externa) necessários à verificação dos controlos da informação financeira, representa um acréscimo estimado de cerca de 1% do volume de negócios nos custos das Empresas. Em mercados extremamente concorrenciais e competitivos como os de hoje, as oportunidades de crescimento das margens via aumento do preço de venda dos produtos ou serviços são muito reduzidas. De facto, o que se observa actualmente nos países mais desenvolvidos é muitas vezes a redução do preço de venda. Assim, a única alternativa para as Empresas ganharem competitividade é reduzindo os seus custos. Isto faz com que a necessidade de aumento de custos da Auditoria para garantir o cumprimento da SOX esteja em contra ciclo com a realidade da vida Empresarial actual.
A
Auditoria Interna – evolução para além da Sarbanes-Oxley Orlando Sousa, CCSA, Vice-presidente IPAI, Director de Auditoria da
Sonae Distribuição
A Auditoria Interna deverá, portanto, deixar de estar virada essencialmente para garantir a correcta escrituração do passado, para estar mais comprometida com o negócio na consecução dos objectivos e metas da Empresa.
Auditoria Interna Janeiro/Março 2007 Nº 26 4
Ainda para mais, e entrando agora no terceiro problema, este acréscimo de custos e de carga burocrática visa essencialmente garantir que os dados contabilísticos expressos nas peças de informação financeira das Empresas estão 100% correctos e fidedignos, ou seja, este acréscimo de garantia de que o passado da empresa está correctamente reflectido nas suas contas, traz muito pouco em termos de retorno. Ainda para mais, não é pelo facto de garantirmos que essa realidade histórica está bem expressa que quem for desonesto deixará de praticar uma fraude. Em minha opinião, a pressão, que terá tendência a aumentar, sobre os custos das empresas, que tem inclusivamente levado algumas empresas a saírem de cotação em Nova York para se cotarem em praças alternativas como por exemplo em Londres, irá conduzir, mais tarde ou mais cedo, a uma revisão e simplificação da SOX. Quando isso acontecer, a Auditoria Interna nos USA terá que mudar o seu foco e alinhar com o resto da Empresa na redução de recursos empregues e custos. Na Europa não foi adoptada a SOX com o seu exagero de securitização, em minha opinião muito influenciado pelo facto de que em cerca de 80% das Empresas europeias existe um accionista de referência que está na Gestão ou acompanha de muito perto essa Gestão, diminuindo assim o risco de falsificação ou empolamento de resultados para obter prémios de desempenho mais elevados pelas equipas de Direcção. Neste caso, a opção que os departamentos de Auditoria Interna das Empresas portuguesas têm para aumentar a sua responsabilidade e importância dentro das suas Empresas, é a via do valor acrescentado.
A Auditoria Interna deverá então estar focada em garantir o alinhamento de toda a Empresa com as linhas estratégicas definidas pela sua equipa Directiva, de forma a ajudar na concretização dos objectivos do negócio. Desta forma a AI, orientando a sua actuação para ajudar o resto da Empresa na detecção, análise e gestão dos principais riscos que se colocam ao desenvolvimento do negócio, acrescenta valor ao contribuir para assegurar, por um lado, que as vendas ou prestações de serviços se concretizam com a margem esperada, e, por outro lado, que os custos são os menores possíveis e só aqueles que estão orçados e autorizados. A AI deverá, portanto, deixar de estar virada essencialmente para garantir a correcta escrituração do passado, sendo muitas vezes vista como um mal necessário, para estar mais comprometida com o negócio na consecução dos objectivos e metas da Empresa, podendo assim ser vista como um consultor interno especializado no apoio à detecção, minimização e gestão dos principais riscos que se podem colocar à Companhia, permitindo à Gestão assumir mais risco, aproveitando novas oportunidades de negócio. Para poder percorrer esse caminho, os departamentos de AI terão que possuir não só um profundo conhecimento do negócio como adquirir novas competências, nomeadamente nas áreas mais operacionais e de Sistemas de Informação. Sendo esta via, quanto a nós, mais exigente é também muito mais interessante e a única forma de, no longo prazo, a AI acrescentar valor à Empresa e não somente custos, tornando-se assim num elemento útil e importante na Gestão e Sustentabilidade das Empresas.
o
Colabore. DigaColabore. DigaColabore. DigaColabore. Diga----nos a sua opinião. Utilize o nosso nos a sua opinião. Utilize o nosso nos a sua opinião. Utilize o nosso nos a sua opinião. Utilize o nosso
correio electrónico correio electrónico correio electrónico correio electrónico [email protected]@[email protected]@netcabo.pt
Auditoria Interna – evolução para além da Sarbanes-Oxley (SOX)
Auditoria Interna Janeiro/Março 2007 Nº 26 5
AAAAudireudireudireudire
entre outros significados, ser independente, em
termos genéricos, significa ser autónomo,
insubmisso ou livre.
Quando falamos de independência em auditoria,
estamos a querer dizer que o auditor está aquém da actividade
que audita, não tanto como sujeito, entenda-se, mas
sobretudo enquanto motor da acção. Isto é, não pode ser
considerado como parte interessada.
Para bem poder desempenhar a sua função, tem que pairar,
em termos de avaliação ou análise, sobre os conteúdos,
objecto da sua acção.
A Norma funcional 1.100 – Independência e objectividade,
define o conceito de “independência orgânica” como …livre de
interferências ao determinar o âmbito da auditoria interna, no
desempenho do trabalho e na comunicação dos resultados.
Quanto a nós, e para além daquilo que As Normas
Internacionais Para a Prática da Auditoria Interna, definem ou
consideram como independência, achamos que se deve ir
ainda um pouco mais longe neste conceito.
Assim, só haverá, em nosso entender, absoluta independência
do auditor, se ele se não deixar desviar, seja a que título for,
dos objectivos, (gerais e específicos), do seu projecto de
auditoria. Isto é, o auditor não se deve deixar influenciar por
indicações, orientações, ou mesmo até sugestões sobre o seu
trabalho, principalmente quando elas partam dos responsáveis
ou afins, das áreas que estejam a ser auditadas.
É evidente que este tipo de intervenção de ser sempre
acautelado e também aqui, deve imperar o bom senso. O
auditor certamente que terá o discernimento suficiente para
distinguir as indicações que possam contribuir para a eficácia
do seu trabalho, das que, pelo contrário, visam somente
baralhar, confundir ou desviar o auditor, propositadamente,
daquilo que pode ser essencial, para aspectos de natureza
acessória.
Há quem pense que é difícil ser-se independente quando um
número importante de variáveis pode condicionar, na prática, o
trabalho do auditor. A este propósito, devo dizer que tenho
uma opinião diferente. Bem diferente mesmo, quando à
auditoria interna, em qualquer organização, for dado o lugar de
prestígio que lhe é devido. É certo que a função auditoria deve
impor-se pelo que vale, por aquilo que é capaz de fazer e não
deixar, nunca, que possam vir a pôr em causa a sua
competência.
Contudo, se o departamento de auditoria não responder, em
termos hierárquicos, ao topo da organização ou figura
equivalente, terá alguma dificuldade em se afirmar e actuar
com independência.
Normalmente as pessoas menos avisadas têm a tendência
para ajuizar, em minha opinião, erradamente, que a auditoria
interna é menos independente do que auditoria externa.
Não vos vou fazer perder tempo com a distinção e muito
menos ainda com os porquês desse falso juízo. Que cada um,
e já agora, de forma independente, que ajuíze por si.
Para terminar e à laia de moral de história, direi somente
que quando o auditor interno actua sem independência,
agindo por influência de terceiro, para além de se estar a
trair a si próprio, estará também, simultaneamente, a
adulterar a auditoria interna, ao remetê-la, deste modo,
para funções de características meramente
administrativas. Ora, isso, na nossa perspectiva não pode
ser considerado auditoria, tal qual a entendemos.
o
D
A independência em auditoria Manuel Marques Barreiro, Presidente IPAI
O auditor certamente que terá o discernimento suficiente para distinguir as indicações que possam contribuir para a eficácia do seu trabalho...
Auditoria Interna Janeiro/Março 2007 Nº 26 6
Artigos
2. Implementação de um sistema de qualidade na
Universidade
lgumas universidades, conscientes da realidade
actual, iniciaram um processo progressivo de
incremento simultâneo, ao nível organizativo e de
eficiência na gestão do conhecimento científico e
técnico (Rodríguez Castellanos et al, 2001:22).
O nível de partida corresponde à gestão universitária tradicional,
que evidenciou alguns aspectos negativos. Pretende-se depois
uma gestão pela qualidade, e com ela se pretende alcançar a
satisfação dos clientes da Universidade.
Um passo mais à frente consiste na gestão da informação, com
o objectivo de optimizar a integração da informação. Finalmente,
o passo seguinte conduz à gestão do conhecimento, onde se
deve actuar por processos.
Sabendo de antemão a importância de que se reveste a
qualidade na gestão universitária, indispensável a um processo
de mudança como aquele que se vem verificando nos diferentes
países, neste ponto da tese enfatizamos a importância da
qualidade na instituição universitária.
Na opinião de Rodríguez (2002:281) da ampliação e
consolidação da autonomia universitária resultou um
processo de descentralização dentro das próprias
universidades, que fomenta a capacidade inovadora das
faculdades, escolas e departamentos em função da sua
organização interna.
Por outro lado, devido às profundas transformações
estruturais decorrentes dos novos desafios que vão
desde o ambiente à globalização da economia, dos
novos métodos de trabalho e formas de emprego aos
mercados sem fronteiras, das novas missões do Estado
às responsabilidades participativas da sociedade civil e
do cidadão (Saraiva et al, 2000:11), está cada vez mais
difícil enquadrar a temática da qualidade num contexto
de sociedade, onde o ensino ocupa um lugar de relevo,
enquanto fonte de vantagem competitiva essencial, de
um país ou região num horizonte de médio / longo prazo.
Nas últimas décadas assistiu-se a um desenvolvimento e
massificação do ensino a que nem sempre correspondeu
a transferência de fundos públicos para a educação nas
mesmas proporções (Parker, 2002:611).
Tal situação fez com que as instituições de ensino, no
sentido de garantirem a qualidade, procurassem fazer
mais e melhor com menos recursos (em termos relativos)
e fez emergir questões de eficácia de gestão e de
responsabilidade.
Devido a estas e outras circunstâncias, tudo se congrega
para que a Gestão da Qualidade no Ensino pareça estar
finalmente a despertar, e, prova disso, é a recente
assinatura da Carta Europeia da Qualidade (1998), onde
se subscreve (Saraiva et al, 2000:12) “a promoção de
uma abordagem generalizada da qualidade no sector
empresarial e no sector público e o desenvolvimento do
ensino da qualidade em todos os níveis do sistema de
educação, do primário ao superior”.
A
Os sistemas de gestão da qualidade nas Os sistemas de gestão da qualidade nas Os sistemas de gestão da qualidade nas Os sistemas de gestão da qualidade nas
instituições de ensino superior instituições de ensino superior instituições de ensino superior instituições de ensino superior –––– 2ª parte
Maria da Conceição da Costa Marques, Ph.D Doutora em Gestão, especialidade em Contabilidade, Professora Adjunta do Instituto Superior de Contabilidade e Administração de Coimbra
…“a promoção de uma abordagem generalizada da qualidade no sector
empresarial e no sector público e o desenvolvimento do ensino da qualidade em
todos os níveis do sistema de educação, do primário ao superior”.
Auditoria Interna Janeiro/Março 2007 Nº 26 7
Algumas barreiras se colocam, no entanto, quanto à
implementação de sistemas de qualidade no seio das
instituições de ensino, nomeadamente, os elevados níveis de
descentralização (empowerment), dos docentes; a ausência de
formação dentro das escolas dos princípios e ferramentas da
qualidade; a diversidade de potenciais clientes, onde cada um
dos diferentes tipos de stakeholders tem diferentes perspectivas;
culto do individualismo e de pequenas “quintas”; inexistência de
mecanismos de recompensa e reconhecimento do mérito; o
facto de a liderança de uma escola ser tipicamente difícil de
assumir; e há que contar ainda com vários “Velhos do Restelo”,
que se refugiam em argumentação diversa do tipo “temos
sobrevivido assim, essas coisas são para as empresas, trata-se
apenas de uma moda a evitar, etc.”
Para os autores mencionados (2000:18), não existem receitas
mágicas para implementar um sistema de qualidade. A adesão
integrada a um sistema de gestão pela qualidade, pressupõe a
construção e implementação de um verdadeiro Projecto de
Escola, assente na definição de uma estratégia de
desenvolvimento, visão, missão e valores.
Na definição de um Projecto de Escola, têm de ser tidos
em consideração alguns aspectos, como sejam, o
alinhamento de todos os colaboradores à volta do tecido
organizacional, de molde a melhorar e tornar mais eficaz
o funcionamento, clarificar os propósitos e reforçar a
excelência da instituição.
Existem outros aspectos a considerar, sobressaindo a
definição clara dos diversos tipos de clientes, internos e
externos; a partilha de melhores práticas e troca de
informação com diversas instituições de ensino (e não
só...); o desenvolvimento de esforços por equipas de
natureza inter-funcional, combinando uma diversidade de
experiências e saberes (Scholtes, citado por Saraiva et
al, 2000:19); a identificação de indicadores e métricas de
avaliação do desempenho; o estabelecimento de
mecanismos de gestão de recursos humanos coerentes
com o contributo de cada pessoa, equipa ou processo;
canais eficazes de comunicação e intercâmbio de
opiniões e recolha e processamento de informação de
gestão; liderança forte, realmente empenhada na sua
concretização e praticante de um estilo de gestão
participativa.
Subsiste uma probabilidade remota de encontrar nas
universidades todas as condições antes referidas. Deve,
no entanto, salientar-se que existe um patamar abaixo do
qual deve ser ponderada a adesão à gestão pela
qualidade, como sistema integrado de funcionamento da
escola.
Em termos de guias de orientação, quer na literatura,
quer através de diversos tipos de entidades, existe uma
imensidão de metodologias de medição e orientação
para a melhoria e a avaliação da qualidade no ensino.
A este respeito, são de destacar, pela sua projecção na
perspectiva da garantia da qualidade, as normas NP EN
ISO 9000, e na óptica de uma gestão pela TQM, os
modelos de excelência desenvolvidos no seio da EFQM –
European Foundation for Quality Management (1996).
As normas ISO 9000 fornecem um enquadramento dos
elementos a incluir num sistema de garantia da
qualidade, e contemplam, pela sua própria natureza
universal, um grau de liberdade suficientemente amplo
que permite a cada instituição construir um sistema
congruente com as suas características e dimensões.
Saraiva et al (2000:31) afirmam que o fenómeno ISO
9000 atingiu desde 1987 uma dimensão de tal ordem,
que se estima existirem, a 31 de Dezembro de 1997,
mais de 225.000 entidades certificadas, incluindo
algumas escolas, de acordo com estas normas (9001,
9002 ou 9003), espalhadas por cerca de 130 países.
Em Portugal, a 31 de Dezembro de 1998 existiam à volta
de 900 organizações com certificados ISO 9000 obtidos
(algumas das quais na área do ensino e formação).
A certificação pela norma ISO 9001 é a mais adequada
para entidades que exercem com alguma intensidade
actividades de concepção e projecto.
Dado que o ensino é dinâmico, desde a criação de novos
cursos, aos currículos ou métodos de aprendizagem
cada vez mais frequentes, vê-se toda a vantagem em
que uma instituição de ensino seja certificada pela norma
ISO 9001, sendo de excluir, à partida, a norma ISO 9003.
As universidades que enveredarem por este caminho
utilizarão, em princípio, a norma ISO 9001.
O Sistema de Qualidade em Serviços Públicos (SQSP),
instituído pelo DL nº 166-A/99, de 13 de Maio, advoga
que a Administração Pública não pode ficar imune às
exigências de uma sociedade que requer cada vez mais
informações rigorosas, o que a obriga a adoptar sistemas
de organização e de funcionamento, direccionados para
a melhoria da qualidade dos serviços prestados ao
cidadão.
Os sistemas de gestão da qualidade nas instituições de ensino superior – 2ª parte
Auditoria Interna Janeiro/Março 2007 Nº 26 8
O facto do Sistema Português da Qualidade (SPQ) não
se harmonizar com as especificidades da estrutura
jurídico-financeira dos serviços públicos, conduziu à
criação do SQSP (ver figura II).
Convém salientar que essa razão não impede a
interacção entre os dois sistemas, nomeadamente
através da participação do SQSP no Conselho Nacional
do SPQ (Cunha et al, 2001:4).
Fig. II - Sistemas de Qualidade instituídos em Portugal
Sistema 1SPQ
(Sistema Português de Qualidade)
Sistema 2SQSP
(Sistema de Qualidade em Serviços Públicos
Sector Industrial Produtivo
Particulares especificidades
da estrutura jurídico-financeira
dosServiços Públicos
Busca da Qualidade
Actuação transparente
Actuação consistente
Institucionalização de uma nova Cultura de Gestão
da Administração Pública
Participação no Conselho
Nacional da Qualidade
Fonte: Cunha et al (2001: 5)
Da definição de qualidade dada pelo DL nº 166-A/99, de 13 de
Maio, a saber: “a qualidade em serviços públicos é uma filosofia
de gestão que permite alcançar uma maior eficácia e eficiência
dos serviços, a desburocratização e simplificação de processos
e procedimentos e a satisfação das necessidades explícitas e
implícitas dos cidadãos”, se retira a ideia de que para uma
melhoria da qualidade se faz apelo a um espaço de liberdade e
responsabilidade, a uma forma participativa e construtiva de
estar na Administração Pública.
A Universidade de Coimbra (UC) foi a primeira Universidade
portuguesa a desenvolver um projecto de implementação de um
Sistema de Gestão da Qualidade, segundo a Norma NP EN ISO
9001: 2000 nos seus serviços de gestão administrativa e
financeira. O projecto culminou, conforme previsto no
cronograma inicial de controlo, com a certificação da área de
gestão dos recursos humanos e gestão administrativa e
financeira da Administração desta Universidade (Mano, 2003).
Actualmente, a UC está a alargar, progressivamente, a
implementação do SGQ a todas as suas unidades orgânicas e
serviços. Esta Universidade, ciente de que para produzir valor é
preciso inovar, introduzir mudanças, implementou internamente
políticas de qualidade, que visam, inclusive, a realização
profissional dos próprios profissionais que fazem a gestão
pública. Essa produção de valor passará pelo recurso à
formação e investimento em tecnologias da informação e
comunicação.
Em sequência dum processo desta natureza, surge o conceito
de certificação. A Certificação pode ser encarada como o
reconhecimento formal, por uma terceira parte (entidade
certificadora, exterior à instituição de ensino) de que o sistema
de garantia da qualidade de uma organização cumpre os
requisitos estabelecidos num documento de referência. A
certificação ISO 9000 é um acto estritamente voluntário, sendo
de distinguir este aspecto do da implementação de um sistema
de garantia da qualidade.
Uma Universidade, ao optar pela certificação por uma entidade
certificadora, e uma vez certificada, adquire uma mais-valia em
termos de credibilidade e reconhecimento pelo mundo exterior,
em como o sistema de garantia da qualidade cumpre as
exigências estabelecidas numa norma de referência conhecida e
utilizada em quase todo o planeta, pelas mais diversas
organizações.
O processo de certificação envolve um conjunto de
etapas a definir, cujo percurso será o que melhor se
ajuste à sua realidade. Trata-se de uma “viagem de longo
curso” (Saraiva et al, 2000:37), que dura cerca de dois
anos1.
O conjunto de etapas subjacentes a este processo pode ser
analisado no quadro seguinte (fig. III):
Fig. III – Processo de Certificação
1. Estabelecimento de objectivos a atingir, calendarização e afectação de recursos
3. Análise do sistema da qualidade existente e identificação das mudanças a realizar
2. Definição / Revisão da política, objectivos da qualidade e selecção do modelo da norma
4. Formação e envolvimento dos colaboradores
5. Revisão, desenvolvimento e implementação dos procedimentos necessários
6. Selecção de um organismo certificador
7. Consulta de documentação e auditoria por parte do organismo certificador
10. Manutenção, revisão e melhoria do Sistema de Garantia da Qualidade implementado
8. Análise do relatório da auditoria e elaboração de comentários
Reconhecimento externo
atravéss de Certificação?
9. Atribuição imediata da Certificação?
NÃO
SIM
NÃO
SIM
Fonte: Adaptado de Saraiva et al (2000: 39)
1 A média apresenta alguma dispersão.
Os sistemas de gestão da qualidade nas instituições de ensino superior – 2ª parte
Auditoria Interna Janeiro/Março 2007 Nº 26 9
A implementação dum sistema de garantia da qualidade numa
Universidade, em conformidade com as normas ISO 9000, exige
o empenhamento dos seus responsáveis máximos, cautela na
condução das diversas etapas e não esperar que se encontrem
soluções imediatas para todos os problemas.
É também necessário tornar claro perante toda a comunidade
educativa o porquê da certificação e encará-la como um suporte
da melhoria contínua e não um fim em si mesma. A
complexidade e a criação de estruturas burocráticas e
dispendiosas devem ser evitadas, ao mesmo tempo que se deve
envolver todo o staff da Universidade.
Conclusões
Às instituições de ensino superior cabe o desafio de
responder às exigências de um mercado cada vez mais
competitivo, para o que deverão dispor dos instrumentos
necessários. A implementação de sistemas de gestão da
qualidade pode assumir um aspecto fundamental no
processo. Os tempos mudaram e quem não perceber
isso vai correr sérios riscos.
Os constrangimentos orçamentais são uma realidade e o
decréscimo da população estudantil não deixou ainda de
ser uma realidade. É preciso que as instituições estejam
preparadas para enfrentar os desafios que
permanentemente se lhes colocam. Nesta preparação
inclui-se a garantia da qualidade ao cliente: qualidade no
ensino, qualidade na investigação, qualidade na
prestação de serviços, etc.
Um sistema de gestão da qualidade permite à
Universidade gerir mais eficientemente as despesas
sociais, orientar os estudantes para melhores
oportunidades de emprego e desenvolver um ensino
compatível com uma sociedade de alta tecnologia.
Bibliografia
Caetano, António (1998). Avaliação de Desempenho – metáforas, conceitos e práticas. RH Editora. Lisboa.
Clark, Paul (2003). Quality by Audit. University of the Sunshine Cost, Article ID: 1234. Australia.
Cob, Charles G. (2003). From Quality to Business Excellence. ASQ Quality Press. Milwaukee, Wisconsin.
Conselho Nacional de Avaliação do Ensino Superior (2000). 1º Seminário Nacional -
Avaliação Global do Ensino Superior. Centro Cultural de Belém. 11 e 12 de Abril.
Conselho Nacional de Avaliação do Ensino Superior (2001). Seminário Avaliação e
Acreditação. Fundação Calouste Gulbenkian, 30 de Novembro.
Conselho de Reitores das Universidades Portuguesas (CRUP) (2003). Parecer sobre
o documento de orientação do Ministério da Ciência e do Ensino Superior “Avaliação,
Revisão e Consolidação da Legislação do Ensino Superior”. Maio de 2003.
Costa Pereira, Ana P. e Freitas Tavares, António F. (2002). O uso de indicadores de
performance na avaliação do ensino superior. RAPP – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, 2002, pp. 82-94.
Cunha, Manuela et al (2001). O papel das tecnologias de informação na promoção da qualidade nos serviços públicos. XI Jornadas Hispanolusas de Gestión Científica, Cáceres, Febrero de 2001.
Dearlove, Des (2000). Key Management Decisions – Tools and techniques of executive decision-maker. Pearson Education Ltd.
Faria, Alexandre (2002). A qualidade dos serviços prestados ao público: a experiência
internacional da “The Quality Assurance Company”. RAPP – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, 2002, pp. 206-213.
Juran, J. M. (2001). Por qué fracasan las iniciativas de la calidad. Harvard Deusto business review, Nº Extraordinario 1, pp. 170-174.
Leite, Denise et al (2000). Inovação e Avaliação na Universidade: Impacto e Mudança. Porto Alegre: UFRGS (Vol. 3, Relatório de Pesquisa).
Mano, Margarida (2003). O processo de certificação da Administração da Universidade
de Coimbra. Administração da UC 2003.
Mendes, Manuel V. (2002). Contributo para um Modelo de Avaliação do Desempenho.
RAPP – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, 2002, pp. 196-205.
Michavila, Francisco y Calvo, Benjamín (1998). La Universidad Española Hoy – Propuestas para una política universitaria. Editorial Síntesis, SA. Madrid.
Moreira, Adriano (2001). O Desafio da Avaliação do Ensino Superior. Conselho Nacional de Avaliação do Ensino Superior.
Norverto Laborda, Maria del Carmen et al (2003). Reporting de las instituiciones universitarias. Revista AECA, nº 62, Enero – Abril.
Orvalho Silva, José (2000). Qualidade, Cidadania e Modernização Administrativa. RAPP – Revista de Administração e Políticas Públicas, Volume I, nº 1, 2000, pp. 106-111.
Parker, L.D. (2002). It’s been a pleasure doing business with you: a strategic analysis
and critique of university change management. Critical Perspectives on Accounting, Volume 13, Nº 5-6, October-December 2002, pp. 576-602.
Pile, Marta e Teixeira, Isabel (1995). Avaliação das Universidades: a Experiência do IST.
http://gep.ist.utl.pt/comunica.htm (Dezembro 2003).
Ramos Pires, A. (2000). Sistemas de Gestão da Qualidade. Edições Sílabo, Lda.Lisboa.
Rodrigues da Rocha, José (2002). Que política de qualidade no ensino universitário.
RAPP – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, 2002, pp. 154-162.
Rodríguez Castellanos et al (2001). La Gestión del Conocimiento Científico-Técnico en la Universidad: un caso y un proyecto. Cuadernos de Gestión, Vol. I, Nº 1, Febrero 2001, pp. 13-30.
Santiago, Rui et al (2002). Avaliação Institucional e Aprendizagem Organizacional nas Universidades: os Dilemas da Adaptação ou da Reconstrução sob Pressão do
“Managerialismo”. Rapp – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, pp. 54-65.
Santiago, Rui et al (2002). Relatório do Projecto sobre a Avaliação, Auto-Análise Institucional e Gestão das Universidades em Portugal e no Brasil. UFRGS/CNPq.
Saraiva, Pedro et al (2000). ISO 9000 para Instituições de Ensino e Formação – Guia Interpretativo para aplicação da Norma NP EN ISO 9001 a Instituições de Ensino e Formação. Lisboa: Instituto Português da Qualidade.
Souza Freire, Fátima et al (2003). Um Método Quantitativo para Avaliação da Satisfação dos Clientes. Revista de Contabilidade e Finanças da USP (Brasil), Ano XIV, Nº 31 – Janeiro/Abril, pp. 7-15.
Vieira Mendes, Manuel (2002). Contributo para um modelo de avaliação do desempenho.
RAPP – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, 2002, pp. 196-205.
Veiga Simão et al (2003). Ensino Superior: Uma Visão para a Próxima Década. Gradiva Publicações, Lda. Lisboa.
Os sistemas de gestão da qualidade nas instituições de ensino superior – 2ª parte
Auditoria Interna Janeiro/Março 2007 Nº 26 10
Introdução
o contexto actual em que a mudança é uma
constante, os accionistas têm vindo a reclamar
maior transparência sobre os riscos que as
organizações enfrentam.
Há um reconhecimento crescente de que coordenar
proactivamente e de forma integrada todos os riscos é
fundamental para alcançar o sucesso (Walker et al., 2003), pelo
que as abordagens tradicionais de gestão de risco já não são
suficientes.
Tradicionalmente, assiste-se a uma gestão de riscos informal e
descentralizada, onde cada área da organização gere os seus
próprios riscos. A descentralização da gestão de riscos em cada
uma das unidades de negócio pode ajudar a criar uma
consciência de prevenção de riscos na organização.
Contudo, a longo prazo a centralização e formalização de um
processo de gestão de risco facilita uma visão global dos
diferentes riscos e suas interdependências, pelo que o caminho
natural do processo de gestão de risco é aquele que leva a uma
maior centralização da função, até chegar à gestão integrada dos
riscos.
Uma abordagem integrada de gestão de risco representa, de
acordo com Busman & Zuiden (1998), um processo dinâmico
para optimizar o nível de risco que as organizações assumem em
busca dos objectivos.
Mais do que se concentrar em riscos ao acaso, a abordagem
integrada procura implementar processos consistentes que
considerem todos os eventos que podem afectar adversamente
as empresas.
É neste contexto que surgiu a Gestão de Risco Empresarial
(ERM – Enterprise Risk Management) como um novo paradigma
na gestão do risco do negócio.
Conceito de Gestão de Risco Empresarial (ERM)
No contexto actual em que a natureza dos riscos que as
organizações enfrentam muda rapidamente, os métodos
utilizados para gerir os riscos também mudam, pelo que é
previsível que as empresas sigam incorporando
progressivamente a gestão de riscos na sua organização até
chegar a uma gestão centralizada e integral. Desta forma, muitas
das maiores organizações internacionais estão a instituir uma
cultura de risco para a implementação com sucesso do processo
de ERM, cujo conceito passamos a abordar.
De acordo com Fuente & Vega (2003), o conceito de ERM vem
representar um passo mais além da centralização da função de
riscos, pois aquilo que se pretende é integrar a gestão
especializada dos distintos riscos numa única visão que abarque
todas as interdependências ou seja, as correlações dos
diferentes riscos, com o objectivo de resumir o risco total da
organização num único número e construir a partir desse número
uma única estratégia de cobertura.
Para Zárate (2001), esta nova abordagem constitui uma
ferramenta de gestão moderna, fundamental para a
implementação de uma cultura orientada para a criação de valor
para o accionista, que dinamiza a gestão e proporciona novos
elementos para a tomada de decisões. Apesar de existirem
diferentes modelos de ERM, muitos concordam que se trata de
uma abordagem que deverá estar alinhada com a gestão
estratégica da organização, sua visão, missão e objectivos, com
enfoque em novas metodologias de gestão e optimização dos
riscos de maior importância, opinião partilhada por Sharman
(2002) e Rucker (referido por Chapman, 2001). Desta forma,
ERM assume relevância no contexto do futuro das organizações,
e não apenas na sua posição actual.
Para Funston (2003), ERM é fundamentalmente um
processo de transformação que altera a forma como as
organizações gerem o risco, permitindo às organizações
avaliar os riscos de forma continuada e identificar as
medidas a tomar e os recursos a alocar na mitigação do
risco.
N
A abordagem integrada procura implementar processos consistentes que considerem todos os eventos que podem afectar adversamente as empresas. É neste contexto que surgiu a Gestão de Risco Empresarial (ERM – Enterprise Risk Management) como um novo paradigma na gestão do risco do negócio.
GESTÃO DE RISCO GESTÃO DE RISCO GESTÃO DE RISCO GESTÃO DE RISCO –––– DA ABORDAGEM TRADICIONAL À DA ABORDAGEM TRADICIONAL À DA ABORDAGEM TRADICIONAL À DA ABORDAGEM TRADICIONAL À
GESTÃO DE RISCO EMPRESARIAL (ERM)GESTÃO DE RISCO EMPRESARIAL (ERM)GESTÃO DE RISCO EMPRESARIAL (ERM)GESTÃO DE RISCO EMPRESARIAL (ERM)
Nuno Castanheira, Auditor Interno no Montepio, Mestrando em Contabilidade e Auditoria (UM) Lúcia Lima Rodrigues, Professora Associada da Universidade do Minho,
Auditoria Interna Janeiro/Março 2007 Nº 26 11
Deloach (referido por Chapman, 2001) salienta que ERM é um
processo que eleva a gestão de risco organizacional de forma a
tornar-se numa arma estratégica, melhorando a capacidade da
organização em construir a gestão de risco.
De acordo com Matyjewicz & D´Arcangelo (2004), ERM é um
processo estruturado, consistente e contínuo ao longo de toda a
organização para identificar, avaliar e reportar internamente as
oportunidades e ameaças que afectam a concretização dos
objectivos da organização.
Olhando de uma forma holística para todos os riscos que a
organização enfrenta e considerando a forma como os mesmos
afectam a concretização dos objectivos, ERM surgiu como uma
metodologia que permite os melhores ganhos a baixos custos, tal
como salienta Chapman (201).
A principal diferença entre o processo de ERM e as outras
formas tradicionais de gestão de risco é que o processo de ERM
adopta uma perspectiva que coordena a gestão de risco ao longo
de toda a organização, em vez de cada área da organização gerir
os seus próprios riscos (Banham, 2004). O quadro seguinte
apresenta as principais diferenças entre o processo de ERM e a
abordagem tradicional de gestão de risco.
ver quadro I
Quadro 1: Abordagem tradicional da Gestão de Risco versus ERM: principais diferenças
Gestão de Risco tradicional ERM
Risco tratado individualmente Risco no contexto da estratégia do negócio
Identificação e avaliação do risco Desenvolvimento de um portfolio de risco
Enfoque em riscos discretos Enfoque nos riscos críticos
Mitigação de risco Optimização de risco
Limites de risco Estratégia de risco
Responsabilidades de risco por definir Responsabilidades de risco definidas
Quantificação do risco Monitorização e avaliação do risco
“Risco não é da minha responsabilidade” “Risco é da responsabilidade de todos”
Fonte: Elaborado a partir de Banham (2004:68) Implementação do processo de Gestão de Risco Empresarial (ERM)
Deloach (referido por Chapman, 2001) salienta que ERM
é um processo que resulta da estratégia da organização,
objectivos, culturas, “apetite de risco”1 e recursos
disponíveis, pelo que não existe uma abordagem que
seja aplicável a todas as organizações. O framework
COSO de ERM fornece as linhas de orientação para a
implementação e desenho do processo de ERM em
qualquer organização.
De acordo com o COSO (2004), há um relacionamento
directo entre os objectivos, que é aquilo que as
organizações pretendem alcançar, e as componentes de
gestão de risco, que representam os meios para alcançar
os referidos objectivos. No que respeita aos objectivos,
existem quatro categorias que podem ser ameaçados
pelos riscos, concretamente os objectivos estratégicos,
operacionais, reporte e conformidade.
Para fornecer uma segurança razoável de que tais
objectivos são alcançados, o COSO (2004) identifica oito
componentes relacionados entre si que permitem um
efectivo processo de gestão de risco, nomeadamente
ambiente interno; fixação de objectivos; identificação de
eventos; avaliação do risco; mitigação dos riscos;
actividades de controlo; informação e comunicação e, por
fim, o acompanhamento.
De acordo com Mandel (2003), para que o processo de
ERM seja verdadeiramente efectivo, deve focalizar-se nos
assuntos internos e externos; focalizar-se nos processos;
minimizar a complexidade, usando modelos e métricas
simples; desenvolver um modelo que indique claramente
quem é responsável por ERM e quem controla o
processo de implementação e, finalmente, visualizar o
processo em sistemas horizontais e verticais. 1 Tradução livre da expressão Risk appetite – significa o nível de
risco aceite pela organização.
Berry & Phillips (1998), salientam que o ponto-chave que
se deve recordar sempre no desenvolvimento de um
processo de ERM é que o mesmo se determina a partir
do negócio e não a partir de um checklist de exposições
ao risco.
Funston (2003) partilha da opinião que o processo de
ERM começa com a avaliação do ambiente em que a
organização actua, a sua estratégia para alcançar os
objectivos, a cultura da organização e o apetite de risco.
Gestão de risco – da abordagem tradicional à gestão do risco empresarial (ERM)
Auditoria Interna Janeiro/Março 2007 Nº 26 12
Assim, conhecer o ambiente externo em que opera a
organização, conhecer os objectivos e a estratégia do
negócio é um passo essencial para conhecer as
condições do negócio e a natureza dos riscos que a
organização enfrenta.Uma vez que cada organização é
única em termos estruturais, culturais e operacionais,
predefinir uma lista de riscos para diferentes entidades
não é mais do que tentar identificar os riscos próprios da
actividade. Assim, o processo de ERM inicia-se com a
identificação e priorização numa base consistente de
todos os riscos enfrentados pela organização. Numa
segunda fase, segue-se a avaliação e mitigação dos
principais riscos, sendo que os mesmos devem ser
priorizados atendendo à sua probabilidade, ao valor
actual do seu impacto e à qualidade dos controlos já
implementados.
Por último, o passo final no processo de ERM é a monitorização
contínua dos riscos, quer sejam novos ou já previamente
identificados. A figura seguinte (fig. 1) constitui um exemplo das
fases do processo de ERM.
Figura 1: O Processo de Gestão de Risco Empresarial (ERM) ______________________________________________________________________________________
_______________________________________________________________________________________
Fonte: Elaborado a partir de Funston (2003:61) Em suma, o processo de ERM assume-se como uma
ferramenta fundamental para assegurar com
razoabilidade a concretização dos objectivos estratégicos.
Não obstante, importa salientar a existência de alguns
obstáculos à implementação de um processo eficaz de
ERM.
É quase redundante dizer que qualquer organização
necessita de um forte clima ético, uma madura
cultura de risco ou uma cultura de conformidade
para a implementação com sucesso de ERM.
São múltiplos os estudos desenvolvidos que
identificaram a cultura das organizações como uma
das principais barreiras à implementação de ERM,
tal como salienta Kimbrough (referido por Jackson,
2005).
Maturidade de Gestão de Risco Empresarial (ERM)
Não obstante o processo de ERM tenha surgido como
uma ferramenta fundamental para a gestão estratégica do
negócio, verifica-se que nem todos os sectores
empresariais apresentam o mesmo nível de maturidade
de gestão de risco.
De acordo com Zárate (2001), a gestão de riscos só tem
um nível aceitável de desenvolvimento nos sectores
financeiro e segurador.
Nos restantes sectores, a gestão de riscos reduz-se,
basicamente, a uma cobertura daqueles riscos
relacionados com a responsabilidade ou com a
integridade dos activos. Fuente & Vega (2003) partilham
da opinião de que a gestão dos riscos em empresas não
financeiras caracteriza-se pela ausência de um conjunto
de técnicas que permitam gerir os riscos próprios da sua
actividade.
De acordo com Alzuela (2003), a gestão de riscos nas
entidades financeiras evoluiu muito tecnicamente nos
últimos anos, pois o crescimento do mercado, a que se
associa o aparecimento de novos produtos e a maior
possibilidade de acesso ao crédito por parte das
economias, produz a necessidade de contar com
sistemas/ferramentas que permitam a gestão dos riscos
de modo mais eficiente.
IIddeennttiiffiiccaaççããoo ddoo RRiissccoo
MMoonniittoorriizzaaççããoo ee mmeellhhoorriiaa ccoonnttíínnuuaa
IInnffoorrmmaaççããoo ee CCoommuunniiccaaççããoo
MMiittiiggaaççããoo ddoo RRiissccoo ee
AAccttiivviiddaaddeess ddee CCoonnttrroolloo
AAvvaalliiaaççããoo ddoo RRiissccoo
AAmmbbiieennttee ee EEssttrraattééggiiaa
Gestão de risco – da abordagem tradicional à gestão do risco empresarial (ERM)
Auditoria Interna Janeiro/Março 2007 Nº 26 13
Adicionalmente, a regulação tem um papel de extrema
importância na maturidade de gestão de risco. Por
exemplo, na actividade bancária a maturidade de gestão
de risco não é alheia ao incremento do risco operacional,
que motivou a que o BCBS2 publicasse recentemente um
documento formal com normas específicas de gestão do
risco operacional, que deverão ser atendidas pela
actividade bancária e que vêm incentivar os Bancos a
fortalecer os sistemas de controlo e gestão de risco.
Engle (2005) também partilha da opinião que a gestão de
risco ganha mais importância com a regulação, dando
como exemplo o Sarbanes-Oxley Act. 2 BCBS – Basle Committee on Banking Supervision
Grupo de trabalho constituído por vários bancos centrais
e entidades de supervisão bancária.
Conclusão
Num quadro marcado pelo forte crescimento e
complexidade dos riscos que as organizações enfrentam,
a definição de “corporate risk” expandiu-se para incluir
não só os riscos financeiros mas todos os riscos do
negócio.
Adicionalmente, é de reconhecimento crescente que uma
gestão de risco bem sucedida significa uma abordagem
formal para gerir sistematicamente os principais riscos de
cada unidade de negócio, assim como identificar e gerir
os novos riscos que surgem à medida que o negócio
evolui.
Como resultado, muitas empresas começam a reconhecer a
necessidade de implementar um processo de ERM, ao mesmo
tempo que reconhecem que a introdução de uma forte cultura de
gestão de risco na organização pode melhorar a eficácia da
gestão de risco.
Por outro lado, constata-se que as empresas financeiras, face à
natureza dos riscos a que estão sujeitas e à regulação que
devem atender, apresentam níveis de maturidade de gestão de
risco mais avançados que as empresas não financeiras.
A transição de uma abordagem tradicional de gestão de risco
para um processo dinâmico que integra e coordena a gestão de
risco ao longo de toda a organização, representa uma ameaça e
ao mesmo tempo uma oportunidade para os gestores de risco
tradicionais.
A ameaça é que a função tradicional de gestor de risco é
absorvida por uma função estratégica criada pela gestão de
topo. A oportunidade será aplicar princípios e ferramentas
tradicionais de gestão de risco ao framework de riscos da
organização, pois apesar da transição para um processo de
centralização de gestão de riscos, há ferramentas e princípios
tradicionais que continuam a ser válidos e adequados para uma
eficiente gestão integrada de riscos.
Em suma, desenvolver um processo formal de gestão de risco
reduz o tempo de reacção das empresas, cria uma cultura de
risco positiva e melhora continuamente o processo de mitigação
de risco.
REFERÊNCIAS BIBLIOGRÁFICAS
o Alzuela, J. M. B. (2003), “La gestión de riesgos en
entidades financieras”, Partida Doble, Diciembre: 62-65.
o Banham, R. (2004), “Enterprising views of risk
management”, Journal of Accountancy, Jun: 65-71.
o BCBS - Basel Committee on Banking Supervision
(2003), “Sound Practices for the Management and
Supervision of Operational Risk. Background”, BCBS.
o Berry, A. & Phillips, J. (1998), “Pulling it together”,
Risk Management, Sep: 53-58.
o Busman, E. R. & Zuiden, P. V. (1998), “The challenge
ahead: adopting an enterprise-wide approach to risk”,
Risk Management, Jan: 14-17.
o Chapman, Christy (2001), “The big picture”, The Internal Auditor, Jun: 30-37.
o COSO - Committee of Sponsoring Organizations of the
Treadway Commission (2004), “Enterprise Risk
Management – Integrated Framework”, COSO.
o Engle, P. (2005), “Managing Risk”, Industrial Engineer, May: 22.
o Fuente, L. & Vega, G (2003), “La gestión de riesgos en
empresas no financieras”, Partida Doble, Diciembre: 54-60.
o Funston, R. (2003), “Creating a risk-intelligent
organization”, The Internal Auditor, April: 59-63.
o Jackson, R. A. (2005): “Role Play”, The Internal Auditor, Apr: 44-51.
o Mandel, C. E. (2003), “COSO gives a good start to
implement ERM”, Business Insurance, December: 12.
o Matyjewicz, G. & D´Arcangelo, J. R. (2004), “ERM-
based auditing”, The Internal Auditor, Nov/Dec: 4-18.
o Sharman, R. (2002), “Enterprise risk management –
the KPMG approach”, The British Journal of Administrative Management, May/Jun: 26-28.
o Walker, P. L., Shenkir, W. G. & Barton, T. L. (2003),
“ERM in practice”, The Internal Auditor, Aug: 51-55.
o Zárate, F. C. O (2001), “La gestión de riesgos: un
enfoque práctico”, Partida Doble, Julio-Agosto: 64-76.
Gestão de risco – da abordagem tradicional à gestão do risco empresarial (ERM)
Auditoria Interna Janeiro/Março 2007 Nº 26 14
s empresas vivem da qualidade e do controlo dos
processos mais nevrálgicos para a prossecução da
estratégia a alcançar: ganhar dinheiro (ter lucro não
serve para pagar dividendos ou ordenados) e, numa
lógica mais universal, exercer a gestão em observância dos
princípios éticos e de responsabilidade e do desenvolvimento
sustentável.
No contexto de riscos negativos ao desenvolvimento da
estratégia empresarial, a auditoria interna desempenha um
papel crucial, sendo tal facto realçado nas normas da
qualidade (ISO 9000, ISO 14000), consubstanciado no
conceito de auditoria “ferramenta de gestão para monitorização
e verificação da implementação eficaz da política da qualidade
e/ou ambiente da organização”.
A transposição da OSHAS 18001 (NP 4397) –
Segurança e saúde no trabalho, reforça o papel da
auditoria no âmbito do sistema de gestão integrado da
qualidade, permitindo uma visão mais integradora da
empresa.
A EN ISO 19001 traça as “linhas de orientação para
auditoria a sistemas de qualidade e /ou gestão
ambiental”, estabelecendo os seguintes eixos
estratégicos:
• Campo de aplicação; • Referências normativas; • Termos e definições; • Princípios de auditoria; • Gestão de um programa de auditorias; • Actividade da auditoria; • Competência e a avaliação de auditores.
Para permitir uma análise comparativa com as Normas
para a Prática Profissional da Auditoria Interna, do
IIA/IPAI, destaco, em síntese, os princípios de
auditoria identificados na ISO 19011:
• Conduta ética (confiança, integridade, confidencialidade e descrição);
• Apresentação imparcial (obrigação de relatar com verdade e rigor);
• Devido cuidado profissional (aplicação de diligência e de discernimento);
• Independência (base para a imparcialidade e objectividade das conclusões);
• Abordagem baseada em evidências (método racional para chegar a conclusões fiáveis e reprodutíveis).
A gestão do programa de auditorias é estruturada no princípio básico seguinte:
• P – Planear (Plan)
• D –Executar (Do)
• C – Verificar (Check);
• A – Actuar (Act)
Esquematicamente, a gestão de um programa de auditoria, assenta:
• Autoridade sobre o programa de auditoria;
• Estabelecimento de programa de auditoria;
• Implementação do programa de auditorias;
• Monitorização e revisão do programa de auditoria.
Os objectivos de um programa de auditorias são definidos em função das seguintes variáveis:
• Riscos existentes nas empresas;
• Prioridades da gestão
• Extensão das auditorias;
• Responsabilidades, recursos e procedimentos existentes;
• Capacidade de implementar o programa;
• Registos anteriores (planos, relatórios, relatórios de não conformidade, relatórios de acções correctivas e preventivas);
• Monitorização e revisão.
A execução das auditorias implica a realização de reunião de abertura com os seguintes objectivos.
• Confirmar o plano com os auditados; • Apresentar a metodologia da auditoria; • Confirmar os canais de comunicação; • Proporcionar ao auditado a possibilidade de colocar
dúvidas ou questões sobre a auditoria; • Definição do idioma.
A
Auditoria interna Auditoria interna Auditoria interna Auditoria interna –––– fornecer fornecer fornecer fornecer valorvalorvalorvalor Joaquim Leite Pinheiro, Director da revista Auditoria Interna IPAI [email protected]; [email protected]
No contexto de riscos negativos ao desenvolvimento da estratégia empresarial, a auditoria interna desempenha um papel crucial.
Auditoria Interna Janeiro/Março 2007 Nº 26 15
No que se refere à emissão do relatório de auditoria realça-se:
• Deverá indicar os principais tópicos; • Deverá fornecer os objectivos da auditoria; • Deverá referir o âmbito e as direcções intervenientes; • Deverá indicar o período de realização da auditoria; • Deverá identificar a equipa e coordenador; • Deverá fornecer os critérios utilizados na auditoria; • Deverá fornecer as constatações da auditoria; • Deverá ser elaborada uma conclusão sobre a
auditoria.
No relatório poderá ser incluída outra informação, nomeadamente:
• O plano de auditoria; • Os nomes dos representantes dos auditados; • Resumo do processo de auditorias e
constrangimentos encontrados; • Áreas não cobertas; • Opiniões divergentes do auditado; • Recomendações para melhoria; • Planos de acção de seguimento; • Declaração de confidencialidade dos conteúdos; • Lista de distribuição.
No que se refere ao auditor a norma estipula:
ATRIBUTOS PESSOAIS
• Ética (o auditor deverá ser justo, verdadeiro, sincero, honesto e discreto);
• Espírito aberto (o auditor deverá estar disposto a considerar ideias ou pontos de vista alternativos)
• Diplomata (o auditor deverá ter tacto no relacionamento);
• Observador (o auditor deverá ser activamente consciente do meio físico envolvente e das actividades);
• Perceptivo (o auditor deverá estar instintivamente atento e capaz de compreender as situações)
• Versátil (o auditor deverá ser capaz de se ajustar prontamente a diferentes situações).
• Tenaz (o auditor deverá ser persistente, focalizado nos objectivos a atingir);
• Decidido (o auditor deverá ser capaz de alcançar conclusões oportunas baseadas em raciocínio lógico e em análise de factos)
• Autoconfiante (o auditor deverá agir e funcionar de forma independente enquanto interage com os outros).
CONHECIMENTOS E COMPETÊNCIAS
Conhecimentos genéricos:
O auditor deverá conhecer: • Os princípios, procedimentos e técnicas de auditoria; • O sistema de gestão de documentos; • As situações organizacionais; • A legislação, regulamentação e outros requisitos
necessários à execução da auditoria.
Conhecimentos específicos e ambientais:
O auditor deverá conhecer o Sistema de Gestão de Qualidade (SGQ), relacionado com os métodos e técnicas relacionadas com a qualidade e com os processos e os produtos;
O auditor deverá conhecer o Sistema de Gestão Ambiental (SGA) no que se refere a métodos e técnicas de gestão
ambiental, ciência e tecnologia do ambiente e os aspectos técnicos ambientais mais relevantes.
Outros aspectos:
O auditor deverá perseguir o desenvolvimento profissional contínuo (manutenção e melhoria dos conhecimentos, a melhoria das competências e atributos pessoais, que passa, essencialmente, pela formação, pela autoformação e participação em encontros, seminários e conferências.
Síntese: Comparabilidade entre a “Norma” IIA e a ISO 19011:
CONCEITO DE AUDITORIA;
ISO19011:
“Processo sistemático, independente e documentado para obter evidência de auditoria (registos, afirmações factuais ou outra informação, que sejam verificáveis e relevantes para os critérios de auditoria - qualitativa ou quantitativa) e respectiva avaliação objectiva com vista a determinar em que medida os critérios de auditoria (conjunto de políticas, procedimentos ou requisitos) são satisfeitos.” Página 8 de 39, ponto 3.1
NORMA IIA/IPAI
“Actividade independente, de avaliação objectiva e de consultoria, destinada a acrescentar valor e a melhorar as operações de uma organização. Assiste a organização na consecução dos seus objectivos, através de uma abordagem sistemática e disciplinada, na avaliação da eficácia dos processos de gestão de risco, controlo e governação”.
o
Em termos de síntese:
ISO 19011 Norma IIA/IPAI
As normas dividem-se em:
Normas Funcionais (NF)
Normas de Desempenho (ND)
Normas de Implementação (desenvolvem-se em torno das NF e ND, visando estabelecer orientações aplicáveis a casos específicos de auditoria.
Princípios:
Conduta ética Código de ética
Apresentação imparcial
Devido cuidado profissional
Independência Independência e objectividade
Evidências Proficiência e adequado sentido profissional
Avaliação de qualidade e programa de aperfeiçoamento
Gestão de um programa de auditoria
2000 Gestão da actividade da auditoria interna
2100 Natureza do trabalho
2200 Planeamento da auditoria
2300 Execução do trabalho programado
2400 Comunicação de resultados
2500 Monitorização do progresso (Follow-up)
o
Auditoria interna – fornecer valor
Auditoria Interna Janeiro/Março 2007 Nº 26 16
DESENVOLVIMENTO DO GUIA
COSO estudou o Controlo Interno e a Gestão de Risco por mais de 20 anos. Desta pesquisa resultaram duas firmes conclusões: Um bom
controlo interno é parte integral das organizações bem sucedidas, e todas as organizações podem atingir um controlo interno efectivo. O compromisso com o controlo interno é uma questão de prioridade das organizações, não uma questão de recursos. No desenvolvimento do Guia para organizações de dimensão menor, a equipa reunida pelo COSO analisou numerosas pequenas companhias cotadas em bolsa com um controlo interno efectivo. Com base nesta análise, a equipa tomou várias decisões chave:
• O Guia deve clarificar o Internal Control – Integrated Framework publicado em 1992, sem contudo representar uma extensão ou substituição daquele.
• Todos os exemplos devem ser retirados de organizações de menor dimensão cotadas em bolsa.
• O Guia deverá ser baseado em princípios, e por isso sujeito ao julgamento da Gestão.
Embora cada um destes itens represente um elemento chave do Guia, a ideia de uma abordagem baseada em princípios, foi considerada fundamental para o sucesso do projecto. Durante as suas deliberações, os elementos da equipa despenderam bastante tempo a discutirem a natureza do controlo interno, os requisitos da secção 404 da Sarbanes – Oxley, o ambiente litigioso dos EUA, e os requisitos regulatórios.
O
CONTROLO INTERNO: Ser pequeno não
interessa A ajuda para os pequenos negócios chegou na forma da
última orientação da COSO sobre o controlo interno do
reporte financeiro. LARRY E. RITTENBERG, PHD, CIA – Professor de Contabilidade da Ernst&Young, Chairman da Universidade de Wisconsin COSO (Com a Colaboração de MILES EVERSON, CPA, Partner, PricewaterhouseCoopers e COSO Project Team Leader, and FRANK MARTENS, CA, Director, PricewaterhouseCoopers e COSO Project Director) Tradução do Internal Auditor de Outubro de 2006, por Mário Carvalho, Técnico de Gestão do Risco da Sonae Distribuição
Em 11 de Julho de 2006, o Committee of Sponsoring Organizations of the Treadway Commission (COSO) lançou a sua nova publicação, Internal Control Over Financial Reporting – A Guidance for Smaller Public Companies. Este Guia foi desenvolvido em resposta a um pedido do Director de Contabilidade do U.S. Securities and Exchange Commission´s (SEC), para ajudar as empresas de menor dimensão cotadas em bolsa, a cumprir com as suas obrigações de reporte ao abrigo da Section 404 da lei de Sarbanes – Oxley de 2002 dos EUA. Este Guia é construído sobre o Internal Control – Integrated Framework publicado em 1992 pelo COSO, embora não modifique ou substitua o guia original.
Este novo Guia foi desenvolvido tendo em conta os desafios específicos enfrentados pelas empresas cotadas de menor dimensão. Mas como foi desenvolvido a partir do Integrated Framework de 1992, os princípios subjacentes a este novo Guia são aplicáveis a organizações de todos os tipos e tamanhos. O documento foca áreas, que podem ser especialmente difíceis para a Gestão de pequenos negócios, incluindo tecnologias de informação, segregação de funções, recrutamento de membros para o Conselho de Administração e Comité de Auditoria, o risco de subversão dos controlos por parte da Gestão, e a extensão da documentação necessária para aferir a qualidade dos controlos internos. O COSO reconhece que muitas organizações de menor dimensão possuem um controlo interno efectivo sobre o reporte financeiro, mas podem enfrentar factores de escala, tais como, o nível certo de competência financeira ou o uso de tecnologias de informação para assegurar as questões de segregação de funções.
O Guia é composto por três volumes – cada um com um propósito diferente. O volume I apresenta uma visão de alto nível, destinado à Gestão de Topo e Conselhos de Administração, enquanto o volume II apresenta exemplos de aplicações práticas na vida real, implementadas em organizações de “pequena dimensão”. O terceiro volume fornece ferramentas e metodologias de avaliação, para ajudar as organizações a implementar e avaliar o seu controlo interno sobre o reporte financeiro.
Este documento foi desenvolvido sob a orientação de uma equipa de projecto da PricewaterhouseCoopers LLP, em cooperação com a maior equipa jamais reunida pelo COSO. Todas as partes envolvidas possuíam um conhecimento profundo sobre empresas cotadas de menor dimensão e dos Frameworks de Controlo Interno e Gestão de Risco do COSO. O Guia foi desenhado para ajudar a Gestão a projectar e implementar um controlo interno efectivo sobre o reporte financeiro. Porque os auditores internos são usualmente os líderes do controlo interno na sua organização, também os ajudará a fornecer essa liderança.
Auditoria Interna Janeiro/Março 2007 Nº 26
17
A equipa do COSO, desenvolveu 20 princípios fundamentais do controlo interno, derivados directamente do Internal Control – Integrated
Framework de 1992.
O COSO espera que o seu novo Guia, através da articulação mais clara dos princípios e atributos subjacentes ao Internal Control – Integrated
Framework de 1992, seja útil para todas as organizações – não apenas para empresas cotadas de menor dimensão.
Alguns elementos questionaram se a Gestão poderia fazer julgamentos informados acerca dos controlos internos, quando todas as decisões poderiam ser postas em causa por diversos grupos, desde auditores a advogados. Contudo, a equipa concluiu que fazer julgamentos constitui parte integrante do trabalho de um gestor, e que indivíduos informados podem e devem fazer julgamentos defensáveis acerca dos controlos internos a implementar. Em última análise, os gestores devem decidir se os controlos da organização são, no seu todo, desenhados e implementados de maneira a atingir um controlo interno efectivo sobre o reporte financeiro. Este Guia ajuda a Gestão, os auditores externos e internos, e outros grupos a tomar estas decisões. De acordo com o Guia, na escolha de determinado controlo, devem ser tidos em conta três factores: � Se reduz o risco para um nível aceitável. � A sua efectividade em termos de custo. � A sua contribuição para um dos cinco componentes
para um controlo interno efectivo do Internal Control – Integrated Framework, (ambiente de controlo, avaliação de riscos, actividades de controlo, informação e comunicação e monitorização).
O processo de tomada de decisão exige um julgamento por parte da gestão. O COSO acredita que o consenso em torno da efectividade dos controlos continuará a crescer, conforme as empresas ganham mais experiência na sua avaliação. Entretanto, o volume 3 do Guia inclui vários templates, que podem ajudar as empresas a desenhar e a implementar controlos internos efectivos sobre o reporte financeiro. Alguns destes templates são apresentados na forma de questionários e são baseados nos princípios fundamentais do controlo interno, explicitados no volume 2 do Guia.
UM PROCESSO, CONTÍNUO E INTEGRADO
O controlo interno efectivo não é um processo estático. Pelo contrário, é cumprido de forma constante, conforme as empresas refinam os seus objectivos de reporte, aumentam o seu entendimento dos riscos que possam ter impacto nesses objectivos, e implementam controlos para reduzir esses riscos para níveis aceitáveis. Os cinco componentes do Internal Control – Integrated Framework de 1992, em conjunto, ajudam as empresas a cumprir os seus objectivos de controlo interno, daí que todos estes componentes têm que estar presentes numa organização com controlos internos efectivos. O guia COSO para empresas cotadas de menor dimensão ilustra a relação lógica entre os cinco componentes – todas apontadas para a prossecução do objectivo de um reporte financeiro fiável.
Uma visão geral da natureza contínua do controlo interno é apresentada no diagrama “Controlo Interno: Um Processo Contínuo e Integrado”. O diagrama mostra como os cinco componentes do COSO se integram como um processo. Da relação lógica entre os cinco componentes resulta que uma organização deve:
Controlo Interno: Um Processo Contínuo e Integrado
Especificar Objectivos de reporte financeiro
Avaliação de Riscos
Ambiente de Controlo
Informação e Comunicação
Monitorização
Actividadesde Controlo
Especificar Objectivos de reporte financeiro
Avaliação de Riscos
Ambiente de Controlo
Informação e Comunicação
Monitorização
Actividadesde Controlo
• Especificar os seus objectivos de reporte financeiro,
que podem ser influenciados pelos requisitos regulatórios.
• Identificar e avaliar os riscos que podem impedir o cumprimento desses objectivos, tais como a subversão dos controlos por parte da Gestão, processamento de transacções inadequado e acréscimos e diferimentos inapropriados.
• Desenhar e implementar um ambiente de controlo que estabeleça o tom da organização e o seu compromisso para com as competências financeiras de mitigação do risco.
• Desenhar e implementar actividades de controlo específicas – incluindo autorizações, testes verificação de totalidade e reconciliações – de forma a mitigar ainda mais os riscos.
• Desenvolver um processo efectivo de informação e comunicação, que permita às partes relevantes entender as suas responsabilidades de controlo e assegure que a Gestão recebe um reporte atempado e relevante, que facilite uma investigação efectiva e a tomada de decisão.
• Monitorar a efectividade da implementação dos controlos.
Controlo interno: ser pequeno não interessa
Auditoria Interna Janeiro/Março 2007 Nº 26
18
Apesar desta sequência sugerir que uma organização deve começar sempre por definir os objectivos de reporte financeiro, o COSO reconhece que: • O controlo é um processo contínuo. • O grau de desenvolvimento de uma componente pode
afectar outras componentes (ex. um ambiente de controlo pouco desenvolvido pode permitir a subversão por parte da Gestão de actividades de controlo, que de outro modo seriam actividades robustas).
• A monitorização pode assumir mais importância se a organização já implementou processos, procedimentos e controlos robustos nas outras componentes.
• A avaliação final do controlo está relacionada com o cumprimento dos objectivos.
A relação lógica entre os componentes COSO foca a avaliação dos controlos internos pela organização no objectivo de reportes financeiros fiáveis e nos riscos para o cumprimento desses objectivos. A relação é útil tanto para as pequenas como para as grandes empresas, assim como para outras organizações encarregadas de avaliar a efectividade do controlo interno. Para além disso, reconhece ainda que a avaliação que a Gestão realiza todos os anos sobre a efectividade dos controlos internos pode – e deve ser – baseada em monitorizações regulares dos controlos, incluindo a identificação de riscos emergentes, que podem afectar o cumprimento dos objectivos da empresa.
PRINCÍPIOS DE UM CONTROLO EFECTIVO
A equipa do COSO desenvolveu 20 princípios fundamentais do controlo interno, derivados directamente do Internal Control – Integrated Framework de 1992 (Ver “Princípios Subjacentes a um Controlo Efectivo sobre Reporte Financeiro”). A equipa identificou também atributos específicos que estariam presentes no cumprimento dos princípios. O COSO considerava cada princípio como essencial para a implementação efectiva de cada uma das componentes do Internal Control – Integrated Framework de 1992. Os atributos correspondentes guiam ainda mais a Gestão e os auditores internos no desenho e implementação de um controlo interno efectivo. Por exemplo, a equipa COSO identificou três atributos associados com o primeiro princípio, Integridade e Valores Éticos: � Articula valores. A Gestão de topo desenvolve uma
declaração clara de valores éticos, capaz de ser compreendida por todos os níveis da empresa.
� Monitoriza a aderência. Estão implementados processos que monitorizam a aderência ao princípio de Integridade e Valores Éticos.
� Lida com os desvios. Os desvios à integridade e aos valores éticos da empresa são identificados em tempo útil e suficientemente endereçados e tratados nos níveis apropriados da organização. Estes atributos, assim como todos os outros princípios e atributos incluídos no Guia, são relativamente abertos. Por outras palavras, o Guia não especifica como é que a Gestão articula os seus valores e garante que estes são compreendidos pela organização. Pelo contrário, ele foca no cumprimento
dos princípios estabelecidos. A Gestão pode usar uma variedade de métodos para comunicar os seus valores, como discursos, webcasts, documentação afixada em locais sociais ou acordos formais assinados por cada colaborador.
Em última análise, os processos de negócio são dinâmicos e os controlos provavelmente mudarão à mediada que a empresa muda. É por essa razão, que os princípios e atributos mencionados no Guia são escaláveis. Embora o Guia inclua exemplos de como empresas de dimensões diferentes aplicam os princípios e atributos, cada organização deve decidir qual a melhor abordagem no seu caso específico e usar os atributos para guiar as suas decisões de controlo.
IMPLICAÇÕES PARA OS AUDITORES
O COSO tem constantemente reconhecido que a função de auditoria interna desempenha um papel fundamental no estabelecimento de um sistema efectivo de controlo interno. No Guia para empresas cotadas de menor dimensão, o reconhecimento deste papel mantém-se, reconhecendo no entanto que este papel pode ser desempenhado tanto por um departamento de auditoria interna como por serviços externos especificamente contratadas para esse efeito. Nalguns casos, a necessidade de subcontratar estes serviços pode ser maior nas pequenas empresas cotadas que não tenham atingido a dimensão suficiente para suportar um departamento de auditoria interna. O COSO também reconhece que o controlo interno não acaba no reporte financeiro. Para terem sucesso, as empresas precisam de atingir objectivos de controlo relacionados com as operações e com actividades de conformidade. O COSO acredita também que muitos dos princípios incluídos no Guia das pequenas empresas, aplicam-se a estas duas áreas de controlo, tornando-se assim úteis para os auditores internos na sua função de líderes do controlo interno na organização. Porque a função de auditoria interna há muito que reconheceu a inter relação das operações de negocio com as três dimensões do controlo, o COSO encoraja os auditores internos a ajudar a Gestão e os Conselhos de Administração a não esquecerem os objectivos operacionais e de conformidade. O Conselho do COSO acredita também que os auditores internos podem desempenhar um papel de liderança, ajudando as suas organizações a compreender e a lidar com a componente de monitorização, enquanto que a gestão mede a continuidade da efectividade dos controlos. O COSO espera que o seu novo Guia, através da articulação mais clara dos princípios e atributos subjacentes ao Internal Control – Integrated Framework de 1992, seja útil para todas as organizações – não apenas empresas de menor dimensão – no desenho, implementação e avaliação da efectividade dos controlos internos.
Controlo interno: ser pequeno não interessa Controlo interno: ser pequeno não interessa
Auditoria Interna Janeiro/Março 2007 Nº 26
19
O Conselho do COSO espera que, à medida que as empresas cumpram com os requisitos de reporte da Secção 404, nos primeiros anos, reconhecerão melhor a natureza contínua do controlo interno. A partir daí as empresas provavelmente atingirão uma maior eficiência através do fortalecimento da
componente de monitorização, podendo a função de auditoria interna guiar a organização através deste processo.
OLHANDO PARA O FUTURO
A função de auditoria interna desempenhou sempre um papel importante no desenvolvimento e avaliação do controlo interno nas suas organizações e os 20 princípios e 78 atributos do controlo interno do COSO ajudarão a função a manter a liderança nesta área. O Guia foi desenvolvido para ser utilizado por todos os tipos de departamentos de auditoria interna – seja no ambiente de negócios, governos, organizações não lucrativas e em pequenas e grandes organizações. Em qualquer cenário, os auditores deverão beneficiar deste Guia, orientado para o sucesso da organização. .
o
Actividades de Controlo12.Selecção e Desenvolvimento de Actividades de Controlo. As
actividades de controlo são seleccionadas e desenvolvidas tendo em conta o seu custo e potencial eficiência na mitigação dos riscos para os objectivos de reporte.
13. Politicas e Procedimentos. Existem, e são comunicadas através da organização, politicas relacionadas com o reporte financeiro fiável, com os correspondentes procedimentos, resultando na implementação das directivas da Gestão.
14. Tecnologias de Informação. Controlos sobre tecnologias de informação , onde aplicáveis, são projectados e implementados, para ajudar a o cumprimento dos objectivos de reporte financeiro.
Informação e Comunicação15. Informação de Reporte financeiro. Toda a informação financeira
pertinente é identificada, capturada, e utilizada a todos os níveis da organização, é também distribuída em forma e tempo útil, de maneira a suportar o cumprimento dos objectivos de reporte financeiro.
16.Informação de Controlo Interno. A informação utilizada para a execução de outros controlos internos, é identificada, capturada, e distribuída a tempo de permitir que os colaboradores levem a cabo as suas tarefas de controlo interno.
17.Comunicação Interna. A comunicação permite e suporta o entendimento, e a execução dos objectivos dos controlo internos, processos, e responsabilidades individuais a todos os níveis da organização.
18. Comunicação Externa. Assuntos que afectem o cumprimento dos objectivos de reporte financeiro, são comunicados às entidades externas apropriadas.
Monitorização19. Avaliações Continuas e Separadas. As avaliações contínuas e/ou
avaliações separadas (auditorias), permitem à Gestão, aferir da efectividade dos controlos internos implementados.
20. Deficiências de Reporte. As deficiências dos controlos internos são identificadas e comunicadas, em tempo útil, aos responsáveis pelas acções correctivas, à Gestão e ao Conselho, conforme apropriado.
Ambiente de Controlo1. Integridade e Ética. A integridade e os valores éticos, são
desenvolvidos e entendidos, particularmente por parte da Gestão de Topo, e determinam a conduta standard para o reporte financeiro.
2. Conselho de Administração. O Conselho compreende e exerce a sua responsabilidade de supervisão, sobre o reporte financeiro econtrolos internos relacionados.
3. Filosofia de Gestão e estilo Operacional. A filosofia de gestão e o estilo operacional, são um dos suportes para atingir um controlointerno efectivo sobre o reporte financeiro.
4. Estrutura Organizacional. A estrutura organizacional da empresa suporta a efectividade do controlo interno.
5. Capacidades de Reporte financeiro. A empresas retém indivíduos competentes na função do reporte financeiro, e nos papeis de supervisão relacionados com estes reportes.
6. Autoridade e Responsabilidade. São atribuídos à Gestão e demais colaboradores, níveis apropriados de autoridade e responsabilidade, de forma a facilitar o controlo interno sobre o reporte financeiro.
7. Recursos Humanos. As práticas e politicas dos recursos humanos estão projectadas e implementadas de forma a facilitar controlo interno efectivo sobre o reporte financeiro.
Avaliação de Riscos8. Objectivos de Reporte Financeiro. A Gestão especifica com
clareza os objectivos de reporte financeiro de forma a permitir a identificação de riscos para um reporte financeiro fiável.
9. Riscos do Reporte Financeiro. A organização identifica e analisa os riscos com potencial impacto no cumprimento dos objectivos dereporte, de forma a determinar a maneira como esses riscos devem ser geridos.
10.Risco de Fraude. A potencial fraude no reporte financeiro, éexplicitamente considerada, aquando da avaliação dos riscos para um reporte financeiro fiável.
Actividades de Controlo11.Integração com a Avaliação de Riscos. São definidos e
implementados planos de acções para gerir os riscos identificados.
Princípios Subjacentes a um Controlo Efectivo sobre Reporte Financeiro
Actividades de Controlo12.Selecção e Desenvolvimento de Actividades de Controlo. As
actividades de controlo são seleccionadas e desenvolvidas tendo em conta o seu custo e potencial eficiência na mitigação dos riscos para os objectivos de reporte.
13. Politicas e Procedimentos. Existem, e são comunicadas através da organização, politicas relacionadas com o reporte financeiro fiável, com os correspondentes procedimentos, resultando na implementação das directivas da Gestão.
14. Tecnologias de Informação. Controlos sobre tecnologias de informação , onde aplicáveis, são projectados e implementados, para ajudar a o cumprimento dos objectivos de reporte financeiro.
Informação e Comunicação15. Informação de Reporte financeiro. Toda a informação financeira
pertinente é identificada, capturada, e utilizada a todos os níveis da organização, é também distribuída em forma e tempo útil, de maneira a suportar o cumprimento dos objectivos de reporte financeiro.
16.Informação de Controlo Interno. A informação utilizada para a execução de outros controlos internos, é identificada, capturada, e distribuída a tempo de permitir que os colaboradores levem a cabo as suas tarefas de controlo interno.
17.Comunicação Interna. A comunicação permite e suporta o entendimento, e a execução dos objectivos dos controlo internos, processos, e responsabilidades individuais a todos os níveis da organização.
18. Comunicação Externa. Assuntos que afectem o cumprimento dos objectivos de reporte financeiro, são comunicados às entidades externas apropriadas.
Monitorização19. Avaliações Continuas e Separadas. As avaliações contínuas e/ou
avaliações separadas (auditorias), permitem à Gestão, aferir da efectividade dos controlos internos implementados.
20. Deficiências de Reporte. As deficiências dos controlos internos são identificadas e comunicadas, em tempo útil, aos responsáveis pelas acções correctivas, à Gestão e ao Conselho, conforme apropriado.
Ambiente de Controlo1. Integridade e Ética. A integridade e os valores éticos, são
desenvolvidos e entendidos, particularmente por parte da Gestão de Topo, e determinam a conduta standard para o reporte financeiro.
2. Conselho de Administração. O Conselho compreende e exerce a sua responsabilidade de supervisão, sobre o reporte financeiro econtrolos internos relacionados.
3. Filosofia de Gestão e estilo Operacional. A filosofia de gestão e o estilo operacional, são um dos suportes para atingir um controlointerno efectivo sobre o reporte financeiro.
4. Estrutura Organizacional. A estrutura organizacional da empresa suporta a efectividade do controlo interno.
5. Capacidades de Reporte financeiro. A empresas retém indivíduos competentes na função do reporte financeiro, e nos papeis de supervisão relacionados com estes reportes.
6. Autoridade e Responsabilidade. São atribuídos à Gestão e demais colaboradores, níveis apropriados de autoridade e responsabilidade, de forma a facilitar o controlo interno sobre o reporte financeiro.
7. Recursos Humanos. As práticas e politicas dos recursos humanos estão projectadas e implementadas de forma a facilitar controlo interno efectivo sobre o reporte financeiro.
Avaliação de Riscos8. Objectivos de Reporte Financeiro. A Gestão especifica com
clareza os objectivos de reporte financeiro de forma a permitir a identificação de riscos para um reporte financeiro fiável.
9. Riscos do Reporte Financeiro. A organização identifica e analisa os riscos com potencial impacto no cumprimento dos objectivos dereporte, de forma a determinar a maneira como esses riscos devem ser geridos.
10.Risco de Fraude. A potencial fraude no reporte financeiro, éexplicitamente considerada, aquando da avaliação dos riscos para um reporte financeiro fiável.
Actividades de Controlo11.Integração com a Avaliação de Riscos. São definidos e
implementados planos de acções para gerir os riscos identificados.
Princípios Subjacentes a um Controlo Efectivo sobre Reporte Financeiro
Controlo interno: ser pequeno não interessa
Auditoria Interna Janeiro/Março 2007 Nº 26 20
Exames de Certificação Novembro de 2007 Caros Associados, Informamos que as inscrições para os exames de certificação do IIA de Novembro 2007 decorrem até ao dia 21 de Setembro. Os associados interessados deverão contactar o IPAI ([email protected]) Telefone 213 151 002 Dr. Bombarda Azevedo. Salientamos que as certificações especializadas CCSA, CGAP e CFSA dispensam da realização da 4ª parte do CIA.
A Direcção do IPAI
Pagamento da quota de 2007, p.f. utilize o NIB do IPAI Após efectuar a transferência, por favor, informe o IPAI , pelo
Correio electrónico [email protected], indicando as referências
e o número de sócio, para permitir a emissão do respectivo
recibo.
Caso deseje ser membro do IPAI , e após verificar que
preenche os pré-requisitos, descarregue o formulário,
preencha-o e p.f. envie por correio junto com uma foto tipo
passe e um cheque à ordem do IPAI – instituto português
de auditoria interna, no valor correspondente à sua inscrição.
(+ jóia: 20 Euros). Ver www.ipai.pt
NIB: 003300000001396510269
Banco: Millennium BCP – Conde Redondo
€ 52,00 Quota Anual; € 45,00 Subscrição da revista bimensal 'Internal Auditor', do IIA
II Fórum de Auditoria Interna 2007 Decorreu em Lisboa o II Fórum de Auditoria Interna em 19 de Junho de 2007, sob o tema “Partilha de Boas Práticas de Auditoria Interna”
Nesta 2ª edição do Fórum estivem presentes 103 participantes de 60 organizações, na
sua maioria responsáveis da função de Auditoria Interna.
O nível de satisfação dos participantes foi elevado, conforme resultados do questionário
efectuado.
Patrocínios
Auditoria Interna Janeiro/Março 2007 Nº 26 21
Mesa da sessão Aspecto da assistência
Novos CIA´s
Os primeiros CCSA´s portugueses
II Fórum de Auditoria Interna
Auditoria Interna Janeiro/Março 2007 Nº 26 22
Auditoria de SistemasAuditoria de SistemasAuditoria de SistemasAuditoria de Sistemas
s modernas ferramentas informáticas de análise de dados já permitem automatizar procedimentos de forma rápida e simples realizando os testes e as análises repetitivas
necessárias à actividade do auditor ou analista com um simples premir de uma tecla. Automatizar, sendo actualmente uma tarefa ao alcance de qualquer um de nós, deverá ser uma prioridade. Na realidade, ferramentas como o IDEA permitem compilar sequências mais ou menos longas de comandos e instruções de forma directa e intuitiva, as quais, após serem guardadas em ficheiros, normalmente designados por macros ou scipts, podem ser executadas repetindo com precisão todo o conjunto de operações previamente guardado. Quando e porquê utilizar uma macro? Como bem sabemos o computador pode reproduzir uma série de comandos muito mais rapidamente do que qualquer um de nós o faria manualmente, seleccionando funções, tomando decisões e preenchendo janelas de recolha de dados de forma quase instantânea e precisa. Se tivermos em atenção que, em muitas situações, estamos a repetir a mesma sequência de comandos vezes sem conta, ou se soubermos que determinada análise irá ter procedimentos repetitivos, deveremos de imediato começar a pensar em criar macros para os automatizar. Existem diversas situações no nosso dia-a-dia onde há necessidade de repetir um determinado conjunto de testes. Por exemplo, quando um ficheiro ou ficheiros são recebidos com regularidade e sobre estes é sempre necessário realizar uma bateria de testes padrão, uma macro será sem dúvida nestes casos, de uma grande utilidade porque poderá ser executada prontamente sempre que aqueles forem recebidos quase sem intervenção do auditor. Temos também como exemplo a eventual necessidade de criar um sistema automatizado de auditoria onde um determinado conjunto de testes ou análises são normalmente realizados por um grupo determinado de utilizadores. As identificações destes testes podem ser apresentadas como opções numa janela de diálogo de fácil selecção associando a cada uma destas opções uma macro que será responsável pela realização de uma série das tarefas previamente estabelecidas e programadas. Temos ainda como exemplo uma análise ou verificação que tem de ser repetida em várias localizações (por exemplo: filiais) ou ainda quando um mesmo sistema
necessita de ser examinado em vários locais ou clientes (por exemplo: um programa de contabilidade standard), aqui também, uma macro poderá ser de grande utilidade, porque estrutura e disciplina as tarefas de análise repetitivas. Assim, a criação de macros com carácter geral permitindo ao utilizador através de simples caixas de diálogo facilmente indicar alguns parâmetros necessários ao processamento, tais como, nome dos ficheiros e respectivos campos a tratar, datas e valores limites de excepção, etc. são boa prática a seguir. O IDEAScript Vamos fazer uma breve incursão ao utilitário de criação de macros existente no IDEA. O IDEA é uma ferramenta de análise de dados vocacionada para a auditoria. Possui uma robusta linguagem de programação designada por IDEAScript que permite aos utilizadores criarem as suas próprias macros em Visual Basic for Applications (VBA) de uma forma extraordinariamente simples sem grandes conhecimentos prévios ou profundos de uma qualquer linguagem de programação. A ferramenta IDEAScript inclui um gravador de macros. Este funciona como um tradicional gravador do vídeo ou de fita. Quando ligado grava tudo o que o utilizador faz até que o utilizador o desligue. Pode reproduzir de seguida as sequências gravadas repetindo com exactidão a mesma sequência e etapas executadas pela primeira vez durante a gravação. Esta ferramenta elimina a necessidade do utilizador manualmente ter de digitar as linhas de código de programação necessárias para a criação das suas macros. O IDEAScript faz isso pelo utilizador. Este gravador permite, assim, gravar uma sequência de etapas que serão a estrutura lógica e funcional da macro. Este gravador é uma excelente ferramenta de programação em Visual Basic, que escreve as linhas de código da macro e que permite ao utilizador inseri-las, alterá-las ou eliminá-las nas suas macros através de um ambiente de edição muito amigável.
A
MACROS - AUTOMATIZAR OS TESTES E ANÁLISES EM AUDITORIA
Drumond de Freitas – Consultor EQUICONSULTE, SA
As facilidades de automatização disponíveis presentemente em algumas ferramentas informáticas de análise de dados são uma forma de optimizar os normalmente escassos recursos disponíveis e de aumentar a eficiência e produtividade.
Auditoria Interna Janeiro/Março 2007 Nº 26 23
Apresentamos alguns ecrãs do ambiente de programação do IDEAScript.
Figura 1 O IDEAScript tem um utilitário para criação janelas de diálogo que permitem recolher dados e comunicar com o utilizador de uma forma muito simples e intuitiva (Fig. 2).
Figura 2 Neste ambiente o utilizador tem à sua disposição botões do tipo OK, CANCEL, YES, NO, etc., caixas de recolha de dados, caixas do tipo listBox, DropDown Listbox, ComboBox etc. que permitem ao programador, entre aspas, definir de forma fácil e intuitiva as caixas para os utilizadores recolherem informação de modo controlado e preciso (estes elementos em VBA são normalmente designados por controlos). Por exemplo, uma janela para recolher campos de uma base de dados criada com o IDEAScript está representada abaixo (Fig. 3):
Figura 3 As caixas de mensagens são facilmente criadas com o IDEAScript e têm normalmente o seguinte aspecto:
Figura 4 Conclusão A linguagem de programação IDEAScript é descendente longínqua da linguagem BASIC criada nos anos 60 para tornar a programação mais fácil para pessoas como nós. Comparada com o C++, COBOL ou FORTRAN o BASIC é mais simples, muito parecido com o Inglês e muito fácil de compreender e utilizar.
Muitos dos comandos utilizados no IDEAScript são os mesmos que existem na linguagem BASIC original e têm funções similares.
Do mesmo modo a gramática e a sintaxe do IDEAScript seguem as regras originárias do BASIC o que torna a sua utilização fácil para quem começa e familiar para quem já conhece VISUAL BASIC.
Forçar-se a utilizar macros é uma sábia decisão do auditor ou analista, porque a automatização das tarefas repetitivas aumenta a eficiência e a produtividade libertando o seu precioso tempo para tarefas mais nobres, que por certo, as terá no exercício da sua actividade.
o
Explorador de SUB Rotinas e Funções
Área de Edição de Código VBA
Editor de Caixas de Diálogo
Caixa de Diálogo com vários botões e campos de recolha
Janela de propriedades dos controlos
MACROS – Automatizar os testes e análises em auditoria
Auditoria Interna Janeiro/Março 2007 Nº 26 24
A palavra ao CIA
Como def ine a sua
experiência em audi tor ia in terna?
A minha experiência em auditoria interna conta já com 10
anos. Antes, tinha desempenhado funções de auditor externo
numa das actuais BIG FOUR. O mínimo que posso dizer é que
se trata de uma experiência muito enriquecedora.
Como auditor interno, passei a ver os assuntos “por dentro”,
alargando os meus conhecimentos em todas as direcções
dentro da organização onde trabalho e contribuindo para a
melhoria constante dos processos de gestão. É motivo de
constante satisfação ser parte integrante dos processos de
melhoria da organização, mantendo simultaneamente, a
independência necessária ao desempenho das minhas
funções.
Qual a pr inc ipal mot ivação para efectuar a
cert i f icação CIA?
Por um lado, estamos sempre a aprender. A certificação tratou-
se de mais um passo nesse sentido. Por outro lado, a
certificação representa um cunho indispensável ao futuro da
profissão. A certificação implica um determinado nível de
reconhecimento exterior constituindo uma mais-valia no
sentido do aumento da credibilidade e da idoneidade de quem
a possui.
Que vantagens ident i f ica na sua função após a
cert i f icação CIA?
A certificação deu-me uma maior clareza na abordagem dos
trabalhos, uma sistematização mais adequada à abrangência
actual da profissão.
Forneceu o enquadramento necessário às actividades de
auditoria interna.
Qual a importância que a cert i f icação CIA tem
na sua empresa?
A empresa passou a ter um auditor interno certificado, o que
lhe confere uma maior credibilidade, a par de outras
certificações que já possui, como as de qualidade e ambiente.
A certificação emprestou uma maior robustez às credenciais da
organização. Por outro lado, a empresa sabe que as
actividades de auditoria interna, são agora executadas,
segundo as normas para as melhores práticas existentes no
mercado.
Que importância tem a cert i f icação CIA na
va lor ização da audi tor ia in terna, em Portugal?
As respostas anteriores já satisfazem em parte esta pergunta. O futuro
da auditoria interna, na minha opinião, dividir-se-á entre os auditores
que são certificados e os outros. É portanto, muito importante, que os
auditores internos em Portugal, estejam conscientes disso mesmo e
se esforcem por dignificar a profissão. Portugal bem precisa de
auditores internos e outros quadros de elevada responsabilidade
dentro das organizações, habilitados a lutar pelo cumprimento das
normas, pelo rigor e exigência ética e profissional, contribuindo para
um clima geral de elevados princípios morais e éticos no país.
Fernando Monteiro, CIA
Vicaima
Auditoria Interna Janeiro/Março 2007 Nº 26 25
O que considera relevante para a
preparação da cert i f icação?
Para parte da preparação, a experiência profissional é
determinante, tendo em conta a interpretação das questões
colocadas no exame, porque daquela, resulta uma noção mais
precisa dos problemas e uma sensibilidade imediata, ligada ao
senso comum, adquirido no dia-a-dia do trabalho.
A outra parte da preparação, exige estudo e resolução de
problemas concretos, pelo que sugiro, se siga o método
proposto nos livros e CD da Gleim, mecanizando as respostas
através da repetição dos exercícios.
Assistir ao seminário do professor Glenn Sumners, foi no meu
caso, muito importante, devido à sua capacidade em focalizar
e exemplificar os problemas do exame.
O que achou mais interessante/dif íci l no
exame CIA?
O mais interessante foi a aquisição de conhecimentos sobre a
sistematização dos problemas e o seu enquadramento nas
funções que exerço, resultando em questões sobre as quais
não estamos, (pelo menos eu não estava), habituados a
pensar daquele ponto de vista. Entrar no problema daquela
forma. Referindo ao tipo de questões colocadas, em especial
sobre a gestão da actividade de auditoria e sobre a fraude. O
mais difícil terá sido a fina sensibilidade que é preciso ter para
conseguirmos distinguir as questões cuja resposta se
assemelha, para o que contribui a repetição de exercícios, se
quisermos ter sucesso.
Que conselho dá aos colegas que se
queiram cert i f icar CIA?
Aconselho a frequentarem o curso do professor Glenn
Sumners e a arranjarem um método de estudo rigoroso (pode
ser o indicado nos livros da Gleim), tentando não se desviarem
dele. Isto obrigará a uma maior concentração, resultando em
avanços contínuos.
No exame, aconselho a ler bem as questões e socorrerem-se
da principal arma que os auditores têm, isto é, a sua
sensibilidade para os problemas, adquiridos no dia-a-dia
profissional.
Como aprecia o papel do IPAI na
organização da cert i f icação CIA em
Portugal?
O IPAI tem desenvolv ido um papel
ext raord inár io na d ivu lgação e promoção da
importânc ia de ser CIA. A e le se deve a taxa
de sucesso conseguida na obtenção da
cer t i f icação nos exames já real izados. O IPAI
tem t ido um papel cruc ia l para a
credib i l ização e consis tênc ia das act iv idades
de audi tor ia in terna em Portugal . Aconselho
todos os audi tores in ternos e externos a se
tornarem membros do IPAI , v is to que daí só
resul tarão benef íc ios.
o
�
Fernando Monteiro, CIA
InscrevaInscrevaInscrevaInscreva----se no exame CIA ou CCSA.se no exame CIA ou CCSA.se no exame CIA ou CCSA.se no exame CIA ou CCSA.
Consulte Consulte Consulte Consulte www.ipai.ptwww.ipai.ptwww.ipai.ptwww.ipai.pt
Auditoria Interna Janeiro/Março 2007 Nº 26 26
Notícias Notícias Notícias Notícias Survey: IPAI _ KPMG Estudo sobre a Situação Actual da Função de Auditoria Interna em Portugal. Raul Fernandes, Vice-presidente IPAI
IPAI e a KPMG irão durante o próximo mês
de Maio lançar um Survey, designado por
Estudo sobre a Situação Actual da
Função de Auditoria Interna em Portugal.
Este estudo tem como principal objectivo avaliar a
situação actual da função de Auditoria Interna (AI) em
Portugal face a um conjunto de boas práticas
internacionais, considerando essencialmente três
factores chave de análise: Posicionamento, Pessoas e
Processos.
A função de AI deve, hoje em dia, assumir-se como
uma componente-chave e de valor acrescentado para
o sucesso das organizações, contribuindo para a
prossecução dos objectivos estratégicos definidos,
através de uma sistemática e disciplinada abordagem
para avaliar e melhorar a eficácia e eficiência da
gestão do risco, dos controlos e da gestão dos
processos.
Assim, este estudo revela-se extremamente relevante
e oportuno para as organizações, no sentido das
mesmas obterem um conhecimento do gap que a
função de AI actualmente apresenta face às boas
práticas internacionais, facilitando no futuro o
desenvolvimento de um conjunto de acções que
permitam o seu alinhamento com as referidas práticas
e acrescentar maior valor às organizações.
Novos Associados Francisco Manuel Vaz Lucas Ana Isabel Ferreira Gouveia Aline Vaz Gomes Paulo Jorge Ferreira Rodrigues Ana Mafalda C.C. e Costa Maria João Navarro C.S.Anjos Marco Artur Damião Bezelga Fernando Gastão Alves Gomes Nuno Miguel S.Abreu Dias Ana Catarina Brissos S. Mendes Alexandra Paula Alves P.Antunes António João Conceição A. Alexandre Albino Fortunato André Costa António Gomes Marques Vicente Ricardo Alexandre da Silva Santos António Tiago S. Leitão Vicente Ana Maria Canelas S.M. Xavier Gonçalo José S. Leitão Vicente Maria Manuel Raposo Oliviera Helena Cristina Miranda Pimentel Luís Afonso Gomes da Costa Ana Luísa Coelho Ferreira Rui Alexandre Oliveira de Almeida Manuel Vítor Lima Vieira Alves Ricardo Jorge Alves Oliveira Susana Maria L.Paleta Venâncio Joel Carlos Coelho da Silva Cristina Maria R.Pacheco Amador José Carlos Freixinho Maria Júlia Soares Santos Moreira José Carlos Geraldo Narigueta
O
Errata Na edição anterior, o nome do articulista do artigo de sistemas de informação foi indicado erradamente. O nome correcto é Drumond de Freitas. Pedimos, pelo facto, desculpa ao articulista e aos nossos leitores. CIA´s Eduardo Margarido é colaborador da empresa “Allianz Portugal SA”. Solicitamos, pelo facto, desculpas ao colega e à empresa referida, pelo erro cometido.
Auditoria Interna Janeiro/Março 2007 Nº 26 27
Plano de Formação e certificação 2007
Tronco formativo Designação Data de início Local Dur Formador
CPE´s
Auditoria de Sistemas de Informação
Sistemas e Controlos Informáticos de Apoio à Auditoria
20/Jun/2007 Lisboa 1 dia Pedro Cupertino
Miranda 8
Auditoria de Sistemas de Informação
Auditoria de Sistemas e Tecnologias de Informação
21/Jun/2007 Lisboa 2 dias Paulo Gomes,
CISA 16
CIA - Certified Internal Auditor
1 ª Parte CIA Review –Internal Audit Role in Governance, Risk & Control
25/Jun/2007 Lisboa 1 dia Glenn Sumners,
CIA 8
CIA - Certified Internal Auditor
2ª Parte CIA Review – Conducting the Internal Audit Engagement
26/Jun/2007 Lisboa 1 dia Glenn Sumners,
CIA 8
CIA - Certified Internal Auditor
3ª Parte CIA Review – Business Analysis and Information Technology
27/Jun/2007 Lisboa 2 dias Glenn Sumners,
CIA 16
CIA - Certified Internal Auditor
4ª Parte CIA Review – Business Management Skills
29/Jun/2007 Lisboa 1 dia Glenn Sumners,
CIA 8
Sector Público / Governamental
Auditoria a empreitadas de obras públicas 08/Out/2007 Lisboa 2 dias Nuno Moita da
Costa 16
CIA - Certified Internal Auditor
1 ª Parte CIA Review –Internal Audit Role in Governance, Risk & Control
15/Out/2007 Lisboa 1 dia Nuno Martins, CIA,
CISA 8
CIA - Certified Internal Auditor
2ª Parte CIA Review – Conducting the Internal Audit Engagement
16/Out/2007 Lisboa 1 dia Nuno Oliveira, CIA 8
CIA - Certified Internal Auditor
3ª Parte CIA Review – Business Analysis and Information Technology
17/Out/2007 Lisboa 1 dia A designar 8
CIA - Certified Internal Auditor
4ª Parte CIA Review – Business Management Skills
18/Out/2007 Lisboa 1 dia Domingos Sequeira de Almeida, CIA,
CCSA 8
CAE e Auditores Seniores Avaliação Interna e Externa da Qualidade da Auditoria Interna
29/Out/2007 Lisboa 1 dia Domingos Sequeira de Almeida, CIA,
CCSA 8
XIV CONFERÊNCIA NACIONAL DO IPAI 20/Nov/2007 Lisboa 1 dia n/a 8
Aspectos Práticos de Auditoria Interna e Especialidades
Técnicas de Amostragem em Auditoria 2º Semestre de 2007
Lisboa A designar
Instituições de Crédito e Sociedades Financeiras
Auditorias a salas de mercados e Back Office 2º Semestre de 2007
Lisboa A designar
Instituições de Crédito e Sociedades Financeiras
Auditoria Interna no âmbito do Basileia II 2º Semestre de 2007
Lisboa A designar
As acções de formação aqui apresentadas serão objecto de posterior confirmação podendo vir a sofrer eventuais alterações.
Consulte em www.ipai.pt ou solicite informação ao IPAI – Telefone/ Fax 213 151 002
Auditoria Interna Janeiro/Março 2007 Nº 26 28
Publicidade
Audit Automation Facilities Departamento Comercial
Silvia Cardoso (Assistente Comercial) Tel: 21 3814890; Fax: 21 3860053
E-mail:[email protected]
Disponíveis para agendar, uma demo “à sua realidade”, sem qualquer compromisso. Contacte-nos
Glossário
Balanced Scorecard Um conceito para medição das atividades de uma empresa em relação a sua visão e estratégias. Este proporciona aos gestores uma abrangente visão do desempenho de um negócio. Este equilibra uma perspectiva financeira com as perspectivas do cliente, do processo interno e de aprendizado (aprendizgem) e desenvolvimento. Código de Ética O Código de Ética do Instituto de Auditores Internos (IIA) inclui os princípios relevantes para a profissão e a prática da auditoria interna e as Regras de Conduta que descrevem o comportamento esperado dos auditores internos.. O Código de Ética aplica-se tanto a indivíduos como a entidades que prestam serviços de auditoria interna. O objectivo do Código de Ética é promover uma cultura ética na profissão global de auditoria interna. Conflito de interesses Qualquer relacionamento que represente ou aparente representar contrário ao melhor interesse da organização. Um conflito de interesse prejudicaria a
capacidade do indivíduo para desempenhar seus deveres e responsabilidades de maneira objectiva. Conformidade A capacidade para assegurar, razoavelmente, conformidade e aderência às políticas organizacionais, planos, procedimentos, leis, regulamentos e contratos. Conselho de Auditoria (Audit Committee) O Conselho de Auditoria auxilia o Conselho de Administração no desempenho de suas responsabilidades em relação a políticas contabilísticas, controle interno e emissão de relatórios financeiros. Conselho de Administração O Conselho de Administração representa o corpo regulador da organização, tais como o conselho de administração, o conselho de supervisão, o responsável por uma agência ou corpo legislativo, o conselho de directores ou tutores de uma organização sem fins lucrativos, ou qualquer outro órgão da organização, incluindo o Conselho de Auditoria, a quem pode estar funcionalmente subordinado o director executivo de auditoria.
Auditoria Interna Janeiro/Março 2007 Nº 26 29
Pesquisa na RedePesquisa na RedePesquisa na RedePesquisa na Rede www2.eycom.ch/risk/
www.
ruleworks.co.uk/prince2/images/risk-cycle.gif
Biblioteca do auditor
“O compromisso é fazermos o
que nos propusemos a fazer,
muito depois do nosso
entusiasmo inicial para o
fazer se ter desvanecido.
Embora o compromisso nos
permita manter o nosso plano
e o nosso objectivo, é a
primeira coisa que desaparece
quando começamos a
desistir”.
“Nunca se iguale o mestre ao aluno malcriado. Nem
de seus lábios saia palavra que não possa ser
repetida. Explica-se que uma criança ou
adolescente escandalize o professor, mas não há
desculpa para o que, tendo o ofício de educar,
escandalize o adolescente ou a criança. É o
exemplo, no mestre, a grande força formadora”.
In Didáctica Mínima, Grisi, Rafael.
15º Aniversário IPAI
Contamos consigo.
Datas importantes:
Assembleia-geral Constituinte: 17 Fevereiro de 1992.
Escritura pública de constituição: 6 de Março de 1992.
Publicação no Diário da República: III série nº 75 de 30 de Março de 1992.
Chapter 253 do IIA: 1 de Junho de 1992.
Instituto Nacional: 2 de Dezembro 2005 (IIA Portugal).
Caneta Digital
Auditoria Interna Janeiro/Março 2007 Nº 26 30
O Zé auditor Autor: Miguel Silva
Correspondência
Não hesite. Escreva um artigo ou envie uma notícia. Pode enviar para os seguintes endereços: Por correio electrónico: [email protected]; [email protected]; [email protected] Por carta: IPAI – Av. Duque de Loulé, 5 2 B 1050-089 LISBOA Por fax: 213 151 002
Auditoria Interna Janeiro/Março 2007 Nº 26 31
Auditoria Interna Janeiro/Março 2007 Nº 26 32